Een recent gedichte kwetsbaarheid in Windows die al voor het verschijnen van de beveiligingsupdate werd aangevallen is gebruikt voor cyberspionage, zo laat het Russische anti-virusbedrijf Kaspersky Lab vandaag weten. Het beveiligingslek bevond zich in een grafisch onderdeel van Windows.

Volgens Microsoft zou een aanvaller via de kwetsbaarheid in het ergste geval volledige controle over de computer kunnen krijgen. Het beveiligingslek werd in september door Kaspersky Lab aan Microsoft gerapporteerd. De softwaregigant kwam deze maand met een update voor het probleem. De Russische virusbestrijder laat nu weten dat de aanval door een spionagegroep genaamd FruityArmor is ingezet.

De groep gebruikte het beveiligingslek om de eigen rechten op aangevallen computers te verhogen. Volgens Kaspersky Lab maakt FruityArmor meestal gebruik van een beveiligingslek in een browser. Doordat de meeste moderne browsers van een sandbox zijn voorzien is één kwetsbaarheid niet voldoende. Bij de meest recente aanvallen van de groep werd er naast een aanval op het browser-lek ook een kwetsbaarheid gebruikt om de rechten te verhogen en zo uit de sandbox te breken.

Welk browser-lek de cyberspionnen als eerste gebruikten voordat het Windows-lek werd aangevallen laat Kaspersky Lab niet weten. Volgens Microsoft zou de kwetsbaarheid alleen al voldoende zijn om een systeem over te nemen. Het anti-virusbedrijf stelt echter dat de aanvallers het Windows-lek gebruikten om hun kwaadaardig PowerShell-script met hogere rechten uit te voeren.

De spionagegroep maakt volgens Kaspersky Lab gebruik van een aanvalsplatform dat volledig rond PowerShell is gebouwd. Zo is het malware-implantaat in PowerShell geschreven en worden alle opdrachten van de aanvallers in de vorm van PowerShell-scripts verstuurd. Wie het doelwit van de aanvallers was wil het anti-virusbedrijf niet zeggen. Ook worden er geen details over de kwetsbaarheid vrijgegeven om te voorkomen dat andere aanvallers er gebruik van zullen maken.