image

Microsoft: Legitieme pdf-lezer verspreidde cryptominer

donderdag 26 juli 2018, 16:14 door Redactie, 0 reacties

Aanvallers zijn erin geslaagd om gebruikers van een legitieme pdf-lezer met een cryptominer te infecteren, zo laat Microsoft vandaag weten. Microsoft heeft de naam van de software in een screenshot geblurd, maar aan de hand van het versienummer dat wel zichtbaar is lijkt het om PDFescape te gaan.

Bij de aanval werd niet de omgeving van de softwareontwikkelaar gehackt, maar die van een partner. Deze partner biedt aanvullende fonts aan die tijdens de installatie van de pdf-lezer kunnen worden geïnstalleerd. De aanvallers hadden de cryptominer in een fontpackage van deze partner verborgen. Om de aanval uit te voeren hadden de aanvallers een kwetsbaarheid in de infrastructuur van de partner gevonden. Ook hadden ze de infrastructuur van de partner op een eigen replicaserver nagebouwd.

De bestanden van de partner, waaronder de fontpackages, werden door de aanvallers naar hun server gekopieerd en daar van de cryptominer voorzien. Via een onbekende kwetsbaarheid, en het lijkt niet om een man-in-the-middle-aanval of dns-kaping te gaan aldus Microsoft, konden de aanvallers de downloadparameters van de pdf-lezer beïnvloeden. De parameters wezen vervolgens naar een nieuwe downloadlink op de server van de aanvallers. Zodoende gebruikte de pdf-lezer de links die naar de server van de aanvallers wezen en downloadde de besmette fontpackage.

Microsoft laat verder weten dat de aanval waarschijnlijk niet het werk van 'staatsactoren' of geraffineerde aanvallers is, maar van "kleine cybercriminelen". Toch hadden de cybercriminelen een grote impact kunnen hebben. De partner van het softwarebedrijf dat de pdf-lezer ontwikkelde werd namelijk ook door andere partijen gebruikt. Gebaseerd op namen van andere pdf-programma's die in het aangepaste fontbestand werden aangetroffen liepen mogelijk zes andere softwareleveranciers risico. Microsoft heeft geen bewijs gevonden dat deze zes partijen ook besmette fontpackages hebben verspreid, maar stelt dat de aanvallers duidelijk een groter plan hadden.

Dergelijke aanvallen worden "supply chain attacks" genoemd. Een bekend voorbeeld van dergelijke aanvallen is de uitbraak van de NotPetya-malware vorig jaar. Hoewel dergelijke aanvallen zeldzaam zijn, komen ze wel vaker voor, aldus Microsoft. Softwarebedrijven krijgen van Microsoft het advies om een veilige ontwikkel- en updateomgeving te creëren. Verder moet het softwareproduct over een veilig updatemechanisme beschikken dat een beveiligde verbinding en digitale handtekeningen gebruikt. Als laatste moet er een incident response proces voor supply chain attacks worden ingericht.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.