image

Kwetsbare Dell-driver gebruikt bij aanval op Nederlands luchtvaartbedrijf

vrijdag 30 september 2022, 12:56 door Redactie, 5 reacties

Een Nederlands luchtvaartbedrijf is eind vorig jaar het doelwit van een aanval geworden waarbij de aanvallers misbruik maakten van een bekende kwetsbaarheid in een driver van fabrikant Dell. Dat laat antivirusbedrijf ESET vandaag weten. De aanvallers benaderden een medewerker van het niet nader genoemde luchtvaartbedrijf via LinkedIn en stuurden hem via het platform een malafide document genaamd "Amzon_Netherlands.docx".

Nadat de medewerker dit document opende werden er verschillende tools en malware op het systeem geïnstalleerd. Of het document gebruikmaakte van macro's of een andere methode om deze bestanden op het systeem te krijgen laat ESET in de analyse niet weten. Security.NL heeft het antivirusbedrijf om meer details gevraagd. Wel meldt de virusbestrijder dat de aanvallers bij de aanval van een kwetsbare Dell-driver gebruikmaakten.

Het gaat om een kwetsbaarheid aangeduid als CVE-2021-21551, waarvoor Dell vorig jaar mei een update beschikbaar maakte. Het beveiligingslek in deze driver maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en de computer zo volledig te compromitteren. De aanvallers installeerden deze driver op het systeem en gebruikten vervolgens hun verhoogde rechten om verschillende Windowsonderdelen uit te schakelen en zo de monitoring van beveiligingssoftware te neutraliseren.

Volgens ESET is dit het eerste geregistreerde misbruik van deze kwetsbaarheid in het wild. In april van dit jaar meldde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat er actief misbruik van de betreffende Dell-kwetsbaarheid werd gemaakt. ESET stelt dat de aanval is uitgevoerd door de Lazarus-groep, die vanuit Noord-Korea zou opereren en verantwoordelijk wordt gehouden voor onder andere inbraken bij meerdere cryptobeurzen en cryptobedrijven, waarbij vele miljoenen dollars werden buitgemaakt.

Reacties (5)
30-09-2022, 14:31 door Anoniem
dit soort zaken worden spearphising genoemd, en zet je van te voren besproken in.
het is voor noord-koreanen helemaal niet interessant om gratis te kunnen vliegen via bij de KLM en de informatie die het oplevert is ook vrij functioneel waardeloos... alsof een president van een land via KLM vliegt.

het lijkt mij dan ook niet voor de hand liggend dat noord-koreanen hun assets onnodig gaan inzetten met het risico op detectie voor nutteloze zaken en daarom lijkt het me ook niet dat het de noord-koreanen zijn.

99% van de tijd zijn het mensen die er zelf voordeel bij hebben.
je ziet dat de VS en Engeland graag hun databases dubbel verifieren..
dus de data die ze aangeleverd krijgen en de data die ze bemachtigen.

dat klinkt paranoide, is het ook maar het levert ook extra inzichten op. bijvoorbeeld bij delta's / discrepanties... want waarom zit die delta daar en wie heeft het erin gestopt. zo kun je bijvoorbeeld assets van buitenlandse toko's ontdekken...
het probleem met paranoide zijn is dat je in een wereld waar je nooit weet of je de waarheid ziet je niet te gefopt wordt door je 'vriendjes' die voor hun eigen doeleinden 'de waarheid' aanpassen. dus ipv een russische/chineese/n-kor spion ontdekken zit je normale mensen te termineren omdat bijv de GCHQ een bestand aangepast had omdat zij hun asset wilde laten vliegen bij KLM ongestoord, terwijl de NSA denkt dat meneer X van die terminal een spion is... jammer maar helaas. u gaat niet naar start maar naar de waterboarding in cuba.
30-09-2022, 15:17 door Anoniem
Drivers van Dell worden normaal gesproken geupdate via Windows Update, zowel de standaard updates als de
optionele updates (waar dan vaak een net weer hogere versie in staat).

Echter, een grote makke van Windows Update is nog steeds dat als er in Windows Update een driver beschikbaar
komt die geldt voor een lokaal device, deze update ALTIJD geinstalleerd wordt ZELFS als de versie in Windows Update
een lagere versie is dan je al op je systeem hebt!
Dus als je keurig de nieuwe driver van Dell gedownload hebt (zeg versie 10.4) en Windows Update heeft versie 10.1
dan knalt ie die gewoon eroverheen.

Dit leidt er toe dat veel bedrijven "driver updates via Windows Update" uitzetten, en kwetsbaar worden.
Wanneer fixed Microsoft dat nou eens? Is toch niet zo'n rare wens om alleen driver updates te willen installeren met
een hogere versie dan er al op het systeem staat? Vele beheerders zijn hier al tegenaan gelopen maar Microsoft
doet er niets aan, en de MVP's op het forum adviseren dan maar "zet driver updates uit". Tja.
30-09-2022, 16:23 door Anoniem
Door Anoniem: dit soort zaken worden spearphising genoemd, en zet je van te voren besproken in.
het is voor noord-koreanen helemaal niet interessant om gratis te kunnen vliegen via bij de KLM en de informatie die het oplevert is ook vrij functioneel waardeloos... alsof een president van een land via KLM vliegt.

Het is een veel gemaakte misvatting dat alleen de president, PM, of CEO interessant zijn.

De jaarcijfers van een bedrijf zijn, voor publicatie, niet alleen bij CxO's bekend, maar ook bij het hoofd boekhouding, en allerlei deel-onderdelen bij ondergeschikten.
Evenzeer vliegen de PM en het niveautje vlak daaronder misschien met het regeringsvliegtuig, maar alle niveau's daaronder vliegen gewoon met lijnvluchten .

FYI : KLM heeft codesharing met Korean Airlines , en veel meer.


het lijkt mij dan ook niet voor de hand liggend dat noord-koreanen hun assets onnodig gaan inzetten met het risico op detectie voor nutteloze zaken en daarom lijkt het me ook niet dat het de noord-koreanen zijn.

99% van de tijd zijn het mensen die er zelf voordeel bij hebben.
je ziet dat de VS en Engeland graag hun databases dubbel verifieren..
dus de data die ze aangeleverd krijgen en de data die ze bemachtigen.

Een argument stelt niet veel voor als het zelfs niet intern consistent is.

Eerst stel je dat de president niet met een lijnvlucht gaat. En vervolgs benoem je dat volume databases van lijnvlucht gebruikers wel interessant zijn. Om de een of andere mysterieuze reden denk je dat alleen VS en UK dat wel interessant vinden en Noord Korea dan alleen presidenten zou willen volgen ?
En dat N-Korea wel zuinig zou zijn op assets en de VS/VK niet ?


dat klinkt paranoide, is het ook maar het levert ook extra inzichten op. bijvoorbeeld bij delta's / discrepanties... want waarom zit die delta daar en wie heeft het erin gestopt. zo kun je bijvoorbeeld assets van buitenlandse toko's ontdekken...
het probleem met paranoide zijn is dat je in een wereld waar je nooit weet of je de waarheid ziet je niet te gefopt wordt door je 'vriendjes' die voor hun eigen doeleinden 'de waarheid' aanpassen. dus ipv een russische/chineese/n-kor spion ontdekken zit je normale mensen te termineren omdat bijv de GCHQ een bestand aangepast had omdat zij hun asset wilde laten vliegen bij KLM ongestoord, terwijl de NSA denkt dat meneer X van die terminal een spion is... jammer maar helaas. u gaat niet naar start maar naar de waterboarding in cuba.

gezakt als analyst.

Overigens kan N-Korea nog een additioneel motief hebben , de mogelijkheid om wanneer gewenst een grote disruptie veroorzaken .
Bij VS/VK verwacht je dat een stuk minder (doe je niet bij bondgenoten, en ook forse impact op henzelf. Beide aspecten spelen niet voor N-Korea)
02-10-2022, 15:15 door Erik van Straten
Door Anoniem: Drivers van Dell worden normaal gesproken geupdate via Windows Update, [...] MVP's op het forum adviseren dan maar "zet driver updates uit". Tja.
Irrelevant. De computer hoeft niet eens een Dell te zijn. Die driver wordt misbruikt als privilege verhogend middel (kernel access) dat digitaal is ondertekend en waar virusscanners (in elk geval aanvankelijk) niks van vinden. En als ze er wel wat van vinden (de toegang tot die driver blokkeren) kunnen ze erg boze klanten krijgen (in de situatie die jij beschrijft) die BSOD roepen.

Door Redactie: De aanvallers installeerden deze driver op het systeem en gebruikten vervolgens hun verhoogde rechten om verschillende Windowsonderdelen uit te schakelen en zo de monitoring van beveiligingssoftware te neutraliseren.

Uit een eerdere ESET writeup, https://www.welivesecurity.com/2022/01/11/signed-kernel-drivers-unguarded-gateway-windows-core/:
This technique is known as Bring Your Own Vulnerable Driver (BYOVD)

Wellicht volgende keer een artikel geheel en begrijpend lezen voordat je reageert?
03-10-2022, 08:38 door Anoniem
Wel bijzonder dat mensen meteen denken dat het de klm betreft. Alsof dit het enige luchtvaartbedrijf in NL betreft.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.