Microsoft heeft in het kader van een nieuwe patch tuesday een lek gedicht dat eind augustus op Twitter verscheen en dat een aanvaller verhoogde rechten geeft op Windows-systemen. In totaal dichtte Microsoft 61 kwetsbaarheden, waarvan 17 'kritiek'.

Het nu gepatchte Windows-lek heeft de aanduiding CVE-2018-8440 en wordt volgens Microsoft actief aangevallen. Daarvoor waarschuwde beveiligingsbedrijf ESET vorige week. Volgens het bedrijf maakte een groep die het zelf aanduidt als PowerPool gebruik van de op GitHub verschenen exploitcode in een malwarecampagne. De code was wel door de groep aangepast. De verspreiding gebeurde door middel van een spamcampagne met kwaadaardige bijlagen.

Als de groep na een eerste infectie vaststelde dat een pc mogelijk gevoelige bestanden bevatte, installeerde de malware een backdoor die van de Windows-exploit gebruikmaakte om hogere rechten te verkrijgen. Het gaat dan ook om een privilege escalation-kwetsbaarheid die aanwezig is in de zogenaamde ALPC-interface van Windows.

Onder de andere gepatchte kritieke kwetsbaarheden is ook CVE-2018-8475, die het op afstand uitvoeren van code mogelijk maakt, onder meer op systemen met Windows-versies vanaf Windows 7. Microsoft meldt dat het lek te misbruiken is via een afbeelding, waardoor een aanvaller een doelwit alleen zover hoeft te krijgen een afbeelding te bekijken. Volgens beveiligingsbedrijf Talos was het voldoende om een kwaadaardige afbeelding op een webpagina te laden. Microsoft zegt dat het lek niet actief werd aangevallen.

Reacties mogelijk gemaakt door CComment