Cisco Talos meldt dat het een loophole heeft gevonden in Windows Policy. De kwetsbaarheid wordt actief uitgebuit.
Securitybedrijf Cisco Talos bracht een loophole in Windows Policy aan het licht. In hun rapport staat ook dat de kwetsbaarheid actief wordt uitgebuit door aanvallers.
Het probleem
De loophole laat toe om cross-signed kernel mode drivers te laden en tekenen met een tijdstempel van voor 29 juli 2015. Aanvallers gebruiken verschillende open-source tools om de tijdstempel van kernel mode drivers te veranderen en vervolgens kwaadaardige en niet geverifieerde drivers met verlopen certificaten te uploaden.
Cisco Talos ontdekte ook een open-source tool die aanvallers gebruiken om, via een gebroken driver, digital rights management (DRM) te omzeilen.
Like China in your hands
Het merendeel van de drivers die Cisco Talos (onderdeel van Cisco Systems) identificeerde, bevatten een taalcode in Vereenvoudigd Chinees in hun metadata. De tools die zijn gebruikt, worden ook vaak ingezet door personen die Chinees spreken. Dat zou toch wijzen op een bepaalde betrokkenheid.
Onderzoekers van Cisco Talos ontdekten bovendien een kwaadaardige driver met de naam RedDriver, waarover ze een apart rapport opmaakten. Die driver neemt vooral internetcafés en mensen die Chinees spreken in het vizier.
lees ook
OpenKylin moet Windows en macOS vervangen in China
Reactie Microsoft
Microsoft is door Cisco Talos meteen op de hoogte gebracht. Die blokkeerden alle certificaten waarvan sprake in het rapport en publiceerden een Security Advisory.
Met dit onderzoek bevestigt Cisco in elk geval de ambitie om ook meer een netwerkexpert te zijn. Dan moet het bedrijf natuurlijk wel nog werken aan zijn eigen bugs.