Windows zou reeds acht jaar een kwetsbaarheid hebben die actief misbruikt wordt, opgemerkt door onderzoekers van Trend Micro. Er is tot op heden nog geen patch beschikbaar.
Beveiligingsonderzoekers van Trend Micro ontdekten een Windows-kwetsbaarheid die aanvallers malafide commando’s laat uitvoeren sinds 2017. De aanvallers maken gebruik van kwaadaardgie Shell Link (.lnk)-bestanden die de kwetsbaarheid ZDI-CAN-25373 uitbuiten. Microsoft laat weten aan The Register dat de technische fix “ongelooflijk lastig” te implementeren is. Het bedrijf heeft dus tot op heden nog geen actie ondernomen.
Shell Link-bestanden
De aanvallen maken gebruik van .lnk-shortcutbestanden. Deze lijken op het eerste gezicht betrouwbare bestanden, maar ze bevatten verborgen instructies om malware te downloaden. Trend Micro ontdekte dat de Noord-Koreaanse aanvallers megabytes aan witte ruimte hebben toegevoegd aan de command-line arguments. Hierdoor is de aanval niet zichtbaar.
De onderzoekers vonden dat de aanval al sinds 2017 wordt uitgebuit. Er zouden reeds een kleine duizend malafide lnk-bestanden geïdentificeerd zijn, maar dit aantal kan nog oplopen. Trend Micro vermeldt bovendien dat zeker er elf door staten gesponsorde groeperingen de kwetsbaarheid misbruikt hebben. Bijna de helft van de aanvallen is gelinkt aan Noord-Korea.
lees ook
Microsoft repareert zes zero day-lekken in verschillende Windows-versies
Ondanks het onderzoek van Trend Micro heeft Microsoft tot op heden nog geen patch gepubliceerd. “We hebben het Microsoft verteld, maar ze beschouwen het als een UI-probleem, niet als een beveiligingsprobleem. Het voldoet dus niet aan hun lat voor onderhoud als beveiligingsupdate, maar het kan worden opgelost in een latere OS-versie, of iets in die richting”, aldus Dustin Childs, hoofd dreigingsbewustzijn bij het Zero Day Initiative, aan The Register.