Er zijn twee zwaktes gevonden in besturingssysteem Windows, waarvan hackers er een ook daadwerkelijk fanatiek gebruiken om mensen aan te vallen. Dit ontdekten onderzoekers van Trend Micro. Het lek zou zelfs al sinds 2017 worden misbruikt.
Het is Microsoft nog niet gelukt om het lek te dichten. Vooral mensen die voor een bepaald land erg interessant zijn om in de gaten te houden en aan te vallen, worden met dit zwak lastiggevallen in meer dan 60 landen. Hackersgroepen maken gebruik van het zwakte om payloads op de systemen te installeren: rommel dus. Meerdere Europese landen zouden op deze manier al zijn aangevallen door een Chinese-hackersgroep (UNC-6384). Zij zetten een trojan genaamd PlugX op systemen.
Microsoft weet al zeven maanden van dit probleem, maar heeft er nog geen patch voor gevonden. Dat zou komen omdat het een bug betreft in het format van Windows Shortcut. Dit is een onderdeel van Windows waarmee je apps makkelijker kunt openen, zonder dat er naar de locatie van die app hoeft te worden genavigeerd. Die eerdergenoemde PlugX bijvoorbeeld, maakt er gebruik van dat het binaire bestand in RC4-formaat blijft bestaan tot de aanval echt plaatsvindt.
Een cybersecurity-expert zegt: “De spreiding van de aanvallen over meerdere Europese landen binnen een korte tijdsperiode wijst op óf een grootschalige, gecoördineerde inlichtingenoperatie, óf de inzet van meerdere parallelle operationele teams die hetzelfde gereedschap gebruiken maar zelfstandig hun doelwitten kiezen. De consistentie in werkwijze bij uiteenlopende doelwitten duidt op een gecentraliseerde ontwikkeling van tools en uniforme veiligheidsstandaarden, zelfs als de uitvoering over meerdere teams is verdeeld.”
Mocht je zijn aangevallen of denken dat dit is gebeurd, dan kun je .lnk-functies het beste uitschakelen als het om onbekende bronnen gaat. Je kunt dat regelen door in de Windows Explorer de automatische resolutie van die bestanden uit te schakelen. Het is onbekend wanneer Microsoft met een oplossing komt. Wel kwam het vorige week met een patch voor het andere zwak, dat erg ernstig werd beoordeeld, want het zat in de Windows Server Update Services.
Helaas wordt het echter nog steeds ernstig beoordeeld, want de patch blijkt niet genoeg te zijn. Ook deze fout in de software wordt inmiddels misbruikt. Het lijkt hier juist niet om heel gerichte aanvallen te gaan. Nu gaat het wel om software die vooral admins gebruiken, dus de kans dat je er als individu mee te maken krijgt is wat kleiner.
