image

G Data: Windowsgebruiker moet optionele UAC-patch installeren

dinsdag 23 juni 2015, 12:12 door Redactie, 6 reacties

Windowsgebruikers doen er verstandig aan om een optionele update voor Windows te installeren, anders kan malware een truc gebruiken om onopgemerkt beheerdersrechten op de computer te krijgen, zo adviseert het Duitse anti-virusbedrijf G Data. Aanleiding is de verspreiding van de Dridex-malware.

Dit is een Trojaans paard dat onlangs nog in België voor grote schade zorgde door het banksysteem aan te vallen dat Belgische bedrijven gebruiken. De malware verspreidt zich via e-mail en een MHTML-document. Dit document bevat een macro die een "downloader" probeert te downloaden. Deze downloader zal de uiteindelijke malware op het systeem plaatsen. Als de gebruiker macro's in Microsoft Office inschakelt wordt de downloader ook gedownload. Om beheerdersrechten op de computer te krijgen probeert de downloader het UAC-venster te omzeilen.

Windows User Account Control (UAC) is een beveiligingsmaatregel die volgens Microsoft computers tegen "hackers en kwaadaardige software" moet beschermen. Als software of een gebruiker bepaalde Windowsinstellingen wil wijzigen of acties probeert uit te voeren die beheerdersrechten vereisen verschijnt er een UAC-waarschuwing. De downloader past volgens G Data een populaire truc toe om de UAC-waarschuwing te verbergen. Het gebruikt hiervoor een aangepast SDB-bestand. In dit geval zal Windows namelijk geen UAC-venster tonen.

Microsoft heeft een patch ontwikkeld die ervoor zorgt dat de UAC-waarschuwing in dit geval ook wordt getoond, maar het gaat hier om een optionele update. "De malwaremakers maken misbruik van een zwakte in Microsofts besturingssysteem om zonder het tonen van de UAC-melding systeembeheerder te worden. Daarom adviseren we nadrukkelijk om de Microsoft-patch te installeren, ook al bestempelt Microsoft het niet als een vereiste patch", aldus het Duitse anti-virusbedrijf. Daarnaast krijgen gebruikers het advies om geen e-mailbijlagen van onbekende afzenders te openen en geen macro's in buitenlandse documenten in te schakelen.

Reacties (6)
23-06-2015, 14:21 door karma4
Het grootste probleem is niet het os maar gebruikers. Het is hun machine en een onderscheid tussen draaien onder admin ofwel root is niet de belevingswereld. Met Internet wijzigde de impact en risico op de voorheen stand alone machines.
23-06-2015, 14:54 door Spiff has left the building - Bijgewerkt: 23-06-2015, 17:00
Door Redactie:
Microsoft heeft een patch ontwikkeld die ervoor zorgt dat de UAC-waarschuwing in dit geval ook wordt getoond, maar het gaat hier om een optionele update.
Door G Data:
You can find more information about this UAC issue the Microsoft website. The patch mentioned on this web page is considered to be optional by Microsoft.
[...]
Concerning this point, we strongly suggest installing the Microsoft patch KB3045645, even if Microsoft does not estimate it as a required patch.
N.B.
Opvallend is dat KB3045645 (https://support.microsoft.com/en-us/kb/3045645) op mijn Windows 7 systeem momenteel niet wordt aangeboden via Windows Update, ook niet als optionele update. Dit in afwijking van wat Microsoft stelt, "This update is available from Windows Update."
(Ik weet niet hoe dat is voor Windows 8, Server 2008 R2 en Server 2012.)
(Voor Vista is KB3045645 niet beschikbaar.)

UPDATE 17:00 uur:
KB3045645 blijkt al te zijn geïnstalleerd, namelijk al op Patch Tuesday 12-5-2015.
KB3045645 blijkt te zijn ingestalleerd als Aanbevolen update, niet als Optionele update.
Mogelijk was KB3045645 "Optioneel" voorafgaand aan 12-5-2015, maar tenminste sinds Patch Tuesday 12-5-2015 is het een "Aanbevolen" update.
Enkel wie in Windows Update de standaard-instelling "Aanbevolen updates op dezelfde manier ontvangen als belangrijke updates" heeft uitgeschakeld, die krijgt KB3045645 niet automatisch aangeboden ter installatie.
Zie ook mijn post van 16:49 uur, hieronder.
23-06-2015, 15:55 door alexander038
Spiff kan het niet zijn dat je hem al geïnstalleerd hebt (ik heb hem zelf 1 mei geïnstalleerd).
23-06-2015, 16:37 door Anoniem
Kijk in je windows update geschiedenis

Simpeler kan het niet
23-06-2015, 16:49 door Spiff has left the building
Door alexander038, 15:55 uur:

Spiff kan het niet zijn dat je hem al geïnstalleerd hebt (ik heb hem zelf 1 mei geïnstalleerd).

Dat was ook mijn eerste gedachte.
Maar optionele Windows updates heb ik niet geïnstalleerd, en in "Geschiedenis van updates" en "Geïnstalleerde updates" vond ik door middel van de zoekfunctie KB3045645 niet terug.

Die zoekfunctie blijkt echter niet te deugen, zo zie ik nu bij op het oog nalopen van de "Geschiedenis van updates".
KB3045645 blijkt wel degelijk te zijn geïnstalleerd, namelijk op Patch Tuesday 12-5-2015, als Aanbevolen update.
Dankjewel voor je hint en aanwijzing, alexander038.

G Data schept dus verwarring door een door Microsoft als "Aanbevolen" bestempelde update te benoemen als "Optioneel". Mogelijk was KB3045645 "Optioneel" voorafgaand aan 12-5-2015, maar tenminste sinds Patch Tuesday 12-5-2015 is het een "Aanbevolen" update.

Enkel wie in Windows Update de standaard-instelling "Aanbevolen updates op dezelfde manier ontvangen als belangrijke updates" heeft uitgeschakeld, die krijgt KB3045645 niet automatisch aangeboden ter installatie.

Mysterie opgelost dus,
maar slordig van G Data, vind ik.
25-12-2015, 19:59 door vanegmond
Omdat ik net wat aanpassingen heb gedaan met W update, kwam na herstarten.
Deze update KB3045645 dus als aanbevolen, omdat ik al sinds enige tijd geen
optionele en aanbevolen meer installeer, heb ik die dus verborgen.

Nu las ik dit artikel via Google, en ik vroeg me af, als je een Admin en een Standard
Account{ dankzij Spiff } hebt, dan heb je deze update toch niet nodig ?
Dat UAC komt toch alleen tevoorschijn als je dit niet hebt.
Ik heb toch de update maar binnengehaald, en gelijk aanbevolen maar weer aangevinkt.
Maar wel naar updates zoeken maar laat mij bepalen of ik ze wil downloaden en installeren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.