Sliedrecht, 17 juli 2019 – Onderzoekers van ESET hebben recentelijk een zeroday-exploit ontdekt en geanalyseerd die gebruikt is voor een zeer gerichte aanval in Oost-Europa. De exploit maakte gebruik van een local privilege escalation-kwetsbaarheid (lokale uitbreiding van rechten) in Microsoft Windows. ESET heeft de kwestie onmiddellijk gerapporteerd aan het Microsoft Security Response Center, die de kwetsbaarheid hebben verholpen en een patch hebben uitgebracht.
De exploit heeft alleen impact op een beperkt aantal versies van Windows, omdat een gebruikersproces in Windows 8 en latere versies geen toestemming heeft om om het geheugen op adres 0 uit te lezen, wat een vereiste is om dit type aanval uit te voeren en te laten slagen.
Deze specifieke Windows win32k.sys-kwetsbaarheid gebruikt, net als anderen, het pop-up menu voor implementatie. “Als voorbeeld: de local privilege escalation exploit van de Sednit groep die we in 2017 analyseerden gebruikte menu-objecten en exploitatietechnieken die zeer vergelijkbaar zijn met de huidige exploit,” verklaart ESET-onderzoeker Anton Cherepanov, die deze nieuwste exploit heeft ontdekt.
Onze researchers zijn er ook in geslaagd om de daders te identificeren – de beruchte Buhtrap APT en cybercriminelen-groep, die focussen op spionage-operaties in Oost-Europa en Centraal-Azië. Dit is de eerste keer dat ESET heeft gezien dat deze groep een zerodayaanval heeft gebruikt in een campagne.
De Buhtrap-groep is bekend om zijn gerichte aanvallen op financiële instellingen en bedrijven in Rusland. Sinds 2015 merken we een interessante verandering op aan het profiel van de traditionele slachtoffers van de groep. Voorheen waren zij een puur criminele groep die cybercriminaliteit inzet voor financiële winst; nu is hun toolset uitgebreid met malware voor spionagedoeleinden.
“Het is altijd moeilijk om een campagne toe te schrijven aan een specifieke dader als de broncode van hun tools vrij verkrijgbaar is op internet. Maar omdat de verschuiving van doelwit plaatsvond voordat de broncode werd gelekt, hebben we met grote zekerheid ingeschat dat dezelfde mensen achter de eerste Buhtrap-malwareaanvallen tegen bedrijven en banken ook betrokken zijn bij het targetten van overheidsinstellingen,” zegt Jean-Ian Boutin, een vooraanstaand onderzoeker bij ESET. “Het is onduidelijk of één of meerdere leden van deze groep hebben besloten hun focus te verleggen en om welke redenen, maar het is absoluut iets dat we vaker verwachten te zien in de toekomst,” voegt hij toe.
De documenten die door de Buhtrap-groep worden gebruikt om de schadelijke payloads af te leveren worden vaak ingezet naast onschadelijke documenten om te voorkomen dat slachtoffers achterdochtig worden bij het openen ervan. Analyse van deze ‘lokdocumenten’ geeft onderzoekers aanknopingspunten over wie het doelwit zou kunnen zijn. In deze specifieke campagne bevatte de malware een wachtwoordsteler, die wachtwoorden van mailcliënten, browsers etc. probeerde te bemachtigen en deze vervolgens door te sturen naar een Command and Control-server. De malware gaf zijn exploitanten ook volledige toegang tot het gecompromitteerde systeem.
De kwetsbaarheid (CVE-2019-1132) is van invloed op: Windows 7 for 32-bit Systems Service Pack 1; Windows 7 for x64-Based Systems Service Pack 1; Windows Server 2008 for 32-bit Systems Service Pack 2; Windows Server 2008 for Itanium-Based Systems Service Pack 2; Windows Server 2008 for x64-Based Systems Service Pack 2; Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1; en Windows Server 2008 R2 for x64-Based Systems Service Pack 1. Windows XP en Windows Server 2003 zijn ook aangetast, maar deze versies worden niet ondersteund door Microsoft.
“Gebruikers die nog steeds Windows 7 Service Pack 1 gebruiken moeten overwegen te updaten naar nieuwere besturingssystemen, omdat uitgebreide ondersteuning van Windows 7 Service Pack 1 zal eindigen op 14 januari 2020. Dit wil zeggen dat Windows 7-gebruikers geen kritieke security-updates meer zullen ontvangen,” voegt Cherepanov toe.
Lees voor meer technische details over deze zeroday-exploit het artikel Windows zero-day CVE-2019-1132 exploited in targeted attacks op WeLiveSecurity.com.
Over ons
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke "in-the-wild" malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.