image

Populaire ransomware door middel van kwetsbaarheid uit te schakelen

dinsdag 3 mei 2022, 15:34 door Redactie, 2 reacties

Beveiligingsonderzoeker John Page heeft een kwetsbaarheid in verschillende populaire ransomware-exemplaren ontdekt waardoor het mogelijk is om de malware voordat het versleutelen van bestanden begint uit te schakelen. Dat meldt de onderzoeker op Twitter en laat hij in verschillende YouTube-video's zien.

Het beveiligingslek in kwestie betreft dll-hijacking. De ransomware-exemplaren zoeken in de huidige directory waar ze worden uitgevoerd naar dll-bestanden en voeren die uit. Door een speciaal geprepareerd dll-bestand in deze directory te plaatsen is het mogelijk om de ransomware uit te schakelen voordat die met het versleutelen van bestanden begint aldus de onderzoeker.

"Antivirussoftware is voor het uitvoeren van de malware uit te schakelen, maar niet deze methode, aangezien er niets uit te schakelen is, Het dll-bestand staat gewoon op de harde schijf. Vanuit verdedigingsperspectief kun je, als onderdeel van een meerlaagse beveiligingsaanpak, het dll-bestand toevoegen aan een specifieke netwerkmap die belangrijke data bevat", merkt Page op.

De onderzoeker maakte een proof-of-concept exploit om het beveiligingslek te demonstreren, maar merkt op dat het gebruik op eigen risico is. De kwetsbaarheid is onder andere aanwezig in de ransomware-exemplaren AvosLocker, REvil, LockBit en Conti.

Reacties (2)
06-05-2022, 21:55 door Anoniem
nou, bij de volgende versie van al die ransomware wordt dat gecheckt...
29-06-2022, 03:51 door Anoniem
Grappig. Op dezelfde manier kun je vaak ook eenvoudig je rechten verhogen als zwart hoedje. Dit omdat MS het nog steeds niet als probleem ziet. Alleen in enkele gevallen valt het onder hun bug bounty programma. Ik geloof wanneer het via CWD + file open oid nog valide was (maar dat was 2 jaar geleden). Recent niet meer naar gekeken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.