ESET heeft een zeroday ontdekt die werd gebruikt voor gerichte aanvallen in Oost-Europa. De kwetsbaarheid werkt alleen op Windows 7 en Windows Server 2008. Het is niet bekend waar de aanval precies op werd gericht.

ESET ontdekte het lek vorige maand en bracht Microsoft daarvan op de hoogte. Er is inmiddels een patch uitgebracht. De kwetsbaarheid is geregistreerd als CVE-2019-1132. en uitgebreid beschreven door de beveiligingsfirma.

Volgens ESET werd het lek actief uitgebuit tegen een overheidsinstelling in Oost-Europa, maar het is niet bekend om welke overheid het precies gaat. Wel wijst het beveiligingsbedrijf de Buhtrap-groep aan, een hackergroepering die sinds 2014 actief is en aanvankelijk vooral Russische bedrijven aanviel. Sinds een paar jaar richt de groep zich echter niet alleen op financiële doelen, maar ook op spionage. ESET zegt dat de huidige malwareaanval onder meer wachtwoorden probeerde te stelen uit mailprogramma's en browsers.

Het lek was te misbruiken op oudere versies van Windows 7 en op Windows Server 2008 en 2008 R2. Wel kan het lek alleen uitgebuit worden als de aanvaller al toegang tot het systeem heeft. Specifieker zijn de systemen die kwetsbaar zijn Windows 7 32-bit Service Pack 1 en 64-bit Service Pack 1, Windows Server 2008 32-bit, 64-bit en Itanium Service Pack 2, en Windows Server 2008 R2 64-bit en Itanium Service Pack 1.

De exploit maakt misbruik van een kwetsbaarheid in win32k.sys. Een aanvaller kan die uitbuiten door pop-upvensters aan te maken en die misbruiken om het kernelgeheugen te dumpen. De kwetsbaarheid was voornamelijk bedoeld om de gebruikersrechten te vergroten.

Het is niet het enige lek dat Microsoft deze week heeft gerepareerd. Tegelijkertijd met deze kwetsbaarheid heeft het bedrijf ook een patch uitgebracht voor CVE-2019-0880, een exploit waarmee ook een local privilege escalation kan worden uitgevoerd. Die kwetsbaarheid zit in splwow64.exe.