image

Ransomware gebruikt Windows-lek om rechten te verhogen

donderdag 4 juli 2019, 16:24 door Redactie, 8 reacties

Onderzoekers hebben een exemplaar van de Sodinokibi-ransomware ontdekt die een beveiligingslek in Windows gebruikt om de hoogst mogelijke rechten op het systeem te krijgen. De kwetsbaarheid werd op 9 oktober vorig jaar door Microsoft gepatcht en was daarvoor al bij zerodayaanvallen gebruikt.

De Sodinokibi-ransomware kwam eerder in het nieuws omdat het een kwetsbaarheid in Oracle WebLogic-servers gebruikte om zich te verspreiden en dat klanten van een gecompromitteerde managed service provider (MSP) met deze ransomware werden besmet. De nu ontdekte versie maakt misbruik van een kwetsbaarheid in het Win32k-component van Windows. Alle ondersteunde versies van Windows waren kwetsbaar voordat de update in oktober vorig jaar verscheen.

Via de kwetsbaarheid kan de ransomware systeemrechten verkrijgen. Volgens antivirusbedrijf Kaspersky komt het zelden voor dat ransomware een beveiligingslek gebruikt om de eigen rechten te verhogen. Eind vorig jaar werd echter een versie van de GandCrab-ransomware aangetroffen die deze tactiek ook toepaste. Door het verkrijgen van systeemrechten kan ransomware bestanden versleutelen zonder dat anti-virussoftware dit proces kan stoppen.

Reacties (8)
04-07-2019, 19:53 door Anoniem
Ik heb nog een beetje code liggen van een paar jaar geleden om de eigen rechten te verhogen via een paar omweggetjes. Als malware developer is het zeker interessant om UAC te bypassen en zo verder in het systeem te komen. Ik vind het juist raar dat het niet meer gebeurd.
05-07-2019, 09:33 door Anoniem
Door Anoniem: Ik heb nog een beetje code liggen van een paar jaar geleden om de eigen rechten te verhogen via een paar omweggetjes. Als malware developer is het zeker interessant om UAC te bypassen en zo verder in het systeem te komen. Ik vind het juist raar dat het niet meer gebeurd.

Malware in het algemeen zal dit zeker gebruiken, maar het doel van ransomware is het versleutelen van bestanden. Dit kan ook met normale gebruikersrechten, dus waarom zou je als ransomware-maker energie stoppen in het verhogen van de rechten?
05-07-2019, 10:50 door Anoniem
Door Anoniem: Ik heb nog een beetje code liggen van een paar jaar geleden om de eigen rechten te verhogen via een paar omweggetjes. Als malware developer is het zeker interessant om UAC te bypassen en zo verder in het systeem te komen. Ik vind het juist raar dat het niet meer gebeurd.
De task scheduler uac bypass zeker, even ter informatie. Die is al lang gepatcht.
05-07-2019, 15:11 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb nog een beetje code liggen van een paar jaar geleden om de eigen rechten te verhogen via een paar omweggetjes. Als malware developer is het zeker interessant om UAC te bypassen en zo verder in het systeem te komen. Ik vind het juist raar dat het niet meer gebeurd.

Malware in het algemeen zal dit zeker gebruiken, maar het doel van ransomware is het versleutelen van bestanden. Dit kan ook met normale gebruikersrechten, dus waarom zou je als ransomware-maker energie stoppen in het verhogen van de rechten?

De reden ransomware dit doet, is eventueel voor bestanden die niet met gebruikersrechten te versleutelen zijn, ook ligt het eraan voor de ransomware maker, maar ook kan de ransomware zichzelf excluding van windows defender scanlist en ook andere AV omzeilen.
06-07-2019, 16:13 door Anoniem
Dit is negen!!!! maanden geleden al gepatched i.v.m. andere aanvallen.

Als je hierdoor alsnog getroffen wordt, is dit eigenlijk een beetje 'eigen schuld dikke bult' imho.
Ja, ik weet dat de IT afdeling of 3rd party niet altijd de middelen heeft of krijgt om alles snel te verhelpen, maar een potentieel gevaar zo lang open laten staan in vragen om narigheid.
07-07-2019, 22:07 door [Account Verwijderd]
Door Anoniem: Dit is negen!!!! maanden geleden al gepatched i.v.m. andere aanvallen.

Als je hierdoor alsnog getroffen wordt, is dit eigenlijk een beetje 'eigen schuld dikke bult' imho.
Ja, ik weet dat de IT afdeling of 3rd party niet altijd de middelen heeft of krijgt om alles snel te verhelpen, maar een potentieel gevaar zo lang open laten staan in vragen om narigheid.

Dat is op zich waar maar je moet bedenken dat die IT afdelingen of 3rd parties ondertussen helemaal overwerkt zijn geraakt door alle Microsoft Windows problemen. Die zien door de bomen het bos niet meer.
08-07-2019, 17:58 door karma4
Door En Rattshaverist: .....
Dat is op zich waar maar je moet bedenken dat die IT afdelingen of 3rd parties ondertussen helemaal overwerkt zijn geraakt door alle Microsoft Windows problemen. Die zien door de bomen het bos niet meer.
De ellende zit in de tijd met msp's en open source linux et. Daar zou geen beheer voor nodig zijn maar dat bleek gelogen. Die gaten vullen miet ergens vandaan komen. Die waarheid mag ook niet naar buiten komen want het contract was zo mooi met de kpi en extra geldstromen.
Dan zoek je de schuld toch ergens anders.. Wel sneu om zo leugenachtig te zijn.
09-07-2019, 01:55 door [Account Verwijderd] - Bijgewerkt: 09-07-2019, 01:55
@karma4 wat begrijp je niet aan deze titel? Ransomware gebruikt Windows-lek om rechten te verhogen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.