Symantec: Windows-lek voor uitkomen patch gebruikt bij malware-aanval
Een kwetsbaarheid in Windows waarvoor op 8 april een beveiligingsupdate verscheen is al voor het uitkomen van de patch gebruikt voor het verspreiden van malware, zo stelt Symantec. Eerder maakte Microsoft al bekend dat het beveiligingslek ook bij ransomware-aanvallen was gebruikt. Al deze aanvallen vonden plaats voordat Microsoft met een update kwam.
De kwetsbaarheid (CVE-2025-29824) bevindt zich in het Windows Common Log Filesystem (CLFS), een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen jaren zijn er tientallen kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits.
Via CVE-2025-29824 kan een aanvaller die al toegang tot een machine heeft SYSTEM-rechten krijgen en zo het systeem volledig compromitteren. Bij de aanval die Symantec analyseerde wisten de aanvallers vermoedelijk eerst een Cisco ASA firewall te compromitteren. Op een onbekende manier werd er vervolgens toegang gekregen tot een Windowsmachine op het netwerk. Op deze machine maakten de aanvallers gebruik van CVE-2025-29824.
De groep die volgens Symantec voor de aanval verantwoordelijk was houdt zich ook bezig met ransomware-aanvallen. In dit geval werd malware genaamd Grixba uitgerold. Dit is een infostealer en netwerkscanner waarmee de aanvallers allerlei informatie over het systeem en netwerk verzamelen. Deze data wordt dan voor verdere aanvallen gebruikt. Volgens Symantec verschilt de waargenomen aanval van de ransomware-aanvallen die Microsoft eerder beschreef, wat mogelijk inhoudt dat verschillende groepen over de kwetsbaarheid beschikten.
Security patches moeten gewoon zo snel mogelijk uitgebracht worden en als je dat niet doet breng je je klanten in gevaar! Dit zou maar eens via de wet moeten geregeld worden.
Er is geen betere tijd om naar Linux te gaan.
Security patches moeten gewoon zo snel mogelijk uitgebracht worden en als je dat niet doet breng je je klanten in gevaar! Dit zou maar eens via de wet moeten geregeld worden.
Er is geen betere tijd om naar Linux te gaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
CISO & Adviseur Informatieveiligheid
Wil jij een sleutelrol spelen bij de informatie-veiligheid van onze gemeente? Ben je zowel strategisch sterk als praktisch ingesteld? Dan hebben wij een uitdagende functie voor jou! Als Chief Information Security Officer (CISO) én Adviseur Informatieveiligheid vervul je een essentiële rol in onze organisatie.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?