Kaspersky Lab ontdekt zero-day lek in Microsoft Windows

14-03-2019 | door: Wouter Hoeffnagel

Kaspersky Lab ontdekt zero-day lek in Microsoft Windows

Een nieuw beveiligingslek in het besturingssysteem Microsoft Windows is ontdekt. Het lek is vermoedelijk gebruikt door ten minste twee bedreigingsactoren, waaronder de onlangs ontdekte SandCat. Het lek is ontdekt door beveiligingsbedrijf Kaspersky Lab. Het lek wordt CVE-2019-0797 genoemd en is door Kaspersky gemeld bij Microsoft. Het Amerikaanse bedrijf heeft inmiddels een patch vrijgegeven.

De nieuwe exploit maakt gebruik van een lek in het grafische subsysteem van Microsoft Windows om controle te verkrijgen over lokale privileges, en daarmee de hele computer. Onderzoek van Kaspersky Lab wijst uit dat de exploit zich richt op de besturingssystemen Windows 8 en 10. De onderzoekers denken dat de gedetecteerde exploit door dreigingsactoren FruityArmor en SandCat is gebruikt, maar wellicht ook door anderen. Van FruityArmor is bekend dat het in het verleden zero-days heeft gebruikt. SandCat is onlangs ontdekt.

Samenwerking tussen beveiligers en developers

"De ontdekking van een nieuwe, actieve Windows zero-day bewijst dat dure en zeldzame tools nog altijd van groot belang zijn voor dreigingsactoren", zegt Jornt van der Wiel, security expert bij Kaspersky Lab. "Organisaties hebben beveiligingsoplossingen nodig die hen tegen zulke onbekende dreigingen beschermen. Dit bevestigt het belang van samenwerking tussen de beveiligingsindustrie en softwareontwikkelaars. De beste manieren om gebruikers tegen nieuwe en opkomende dreigingen te beschermen zijn: het detecteren van bugs, deze op een verantwoordelijke manier openbaar maken en snel patchen."

Het lek is ontdekt door de Automatic Exploit Prevention-technologie van Kaspersky Lab, die in de meeste producten van het bedrijf is ingebouwd. De exploit wordt door producten van Kaspersky Lab onder de volgende namen gedetecteerd:

  • HEUR: Exploit.Win32.Generic
  • HEUR: Trojan.Win32.Generic
  • PDM: Exploit.Win32.Generic

Meer details zijn beschikbaar in het rapport op Securelist

Terug naar nieuws overzicht