Een zero day-lek in Silverlight is vorig jaar gebruikt voor aanvallen op Windowsgebruikers, hoewel Microsoft zegt dat het niet met dergelijke aanvallen bekend is. De kwetsbaarheid werd door het Russische anti-virusbedrijf Kaspersky Lab ontdekt en gisterenavond door Microsoft gepatcht.
Silverlight is de browserplug-in van Microsoft voor het afspelen van online videocontent. In Security Bulletin MS16-006 stelt Microsoft echter dat het niet met aanvallen op Windowsgebruikers bekend is. Vandaag publiceerde Kaspersky Lab een artikel over hoe het de kwetsbaarheid ontdekte en hoe die bij aanvallen was ingezet. Het begon naar aanleiding van een artikel van Ars Technica over het gehackte Italiaanse bedrijf Hacking Team. Uit de e-mails die van het bedrijf online waren gezet bleek dat een onderzoeker genaamd Vitaliy Toropov een exploit voor een onbekend Silverlight-lek had aangeboden.
De naam van Toropov werd ook op de website van de Open Source Vulnerability Database (OSVDB) aangetroffen. Via deze database kunnen mensen informatie over kwetsbaarheden uitwisselen. In 2013 had Toropov een exploit voor een lek in Silverlight gepubliceerd. Het lek was inmiddels gepatcht, maar de exploit bevatte ook details over hoe Toropov zijn code schreef. Kaspersky ontwikkelde speciale detectieregels als bepaalde coderegels van Toropov bij gebruikers van Kaspersky anti-virus werden aangetroffen.
De kans bestond namelijk dat Toropov zijn nieuwe Silverlight-aanval naast Hacking Team ook aan andere partijen aanbood. Via de detectieregels kon die dan worden gevonden. Een aantal maanden na de implementatie van de detectieregels werd een Kaspersky-gebruiker aangevallen door een bestand waarop de detectieregels alarm sloegen. Een aantal uren later werd door een gebruiker in Laos een bestand met dezelfde eigenschappen naar een online virusscannerdienst geupload. Uit de analyse van het bestand bleek dat die een onbekende kwetsbaarheid in Microsoft Silverlight gebruikte.
Kaspersky Lab besloot vervolgens Microsoft te waarschuwen, dat de kwetsbaarheid gisteren patchte. Volgens Costin Raiu van Kaspersky Lab kan niet met zekerheid worden gezegd dat de nu gepatchte kwetsbaarheid ook door Toropov was ontdekt, maar de kans is volgens hem zeer groot. Aangezien de kwetsbaarheid tijdens een aanval op gebruikers werd gevonden blijft het de vraag hoe het kan dat Microsoft met deze aanvallen onbekend is. We hebben zowel Kaspersky als Microsoft dan ook om een reactie gevraagd.
Kaspersky Lab laat in een reactie aan Security.NL weten dat het Microsoft over de aanvallen heeft ingelicht.
Microsoft wijst in een reactie aan Security.NL naar het Security Bulletin en blijft bij het standpunt dat het niet bekend was met aanvallen waarbij het Silverlight-lek werd ingezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.