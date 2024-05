Een kwetsbaarheid in Windows is wekenlang actief misbruikt bij malware-aanvallen zonder dat een update beschikbaar was om het probleem te verhelpen. Gisterenavond kwam Microsoft tijdens de patchronde van mei met een update. Het beveiligingslek in de Windows Desktop Window Manager (DWM) core library is één van de twee actief aangevallen kwetsbaarheden die Microsoft deze maand heeft verholpen.

De Desktop Window Manager wordt gebruikt voor de weergave van de Windows-desktop. Een kwetsbaarheid in het onderdeel, aangeduid als CVE-2024-30051, maakt het mogelijk voor aanvallers die al toegang tot het systeem hebben om hun rechten te verhogen. In dit geval kunnen er SYSTEM-rechten worden verkregen, waarmee een aanvaller volledige controle over het systeem krijgt. Het beveiligingslek alleen is niet voldoende om een systeem op afstand te compromitteren. Dit zou moeten worden gecombineerd met een andere kwetsbaarheid of een aanvaller zou via malware of andere malafide applicatie toegang moeten hebben.

Het beveiligingslek werd door onderzoekers van Kaspersky. Google Threat Analysis Group, Google Mandiant en DBAPPSecurity WeBin Lab aan Microsoft gerapporteerd. Kaspersky ontdekte een exploit die van de kwetsbaarheid misbruik maakt op 1 april in een document dat naar Googles online virusscanner VirusTotal was geüpload. Volgens de virusbestrijder lijkt CVE-2024-30051 heel veel op een andere kwetsbaarheid in de Windows DWM core library (CVE-2023-36033) die ook actief werd misbruikt voordat een update beschikbaar was.

Kaspersky wil nog geen verdere details geven, maar laat wel weten dat het beveiligingslek is gebruikt door de criminelen achter de Qakbot-malware en andere malware-families. Het antivirusbedrijf denkt dan ook dat meerdere aanvallers kennis van de kwetsbaarheid hebben. De Qakbot-malware die Kaspersky noemt wordt via phishingmails verspreid en kan op besmette computers inloggegevens stelen en verdere malware installeren.

De tweede actief aangevallen betreft CVE-2024-30040, een kwetsbaarheid in het Windows MSHTML-platform. Het beveiligingslek wordt aangeduid als een 'security feature bypass' waarmee een aanvaller beveiligingsmaatregelen van Microsoft 365 en Microsoft Office kan omzeilen. Misbruik is mogelijk wanneer een doelwit een malafide document opent. Details over de aanvallen zijn niet gegeven. De Windows-updates worden op de meeste systemen automatisch geïnstalleerd.