Overslaan naar hoofdinhoud
16 april 2021

Kaspersky vindt zero-day exploit in Desktop Window Manager

Onderzoekers van Kaspersky hebben begin 2021 nog een zero-day exploit ontdekt, na verdere analyse van de reeds gerapporteerde CVE-2021-1732-exploit die door de BITTER APT-groep werd gebruikt.

Utrecht, 16 april 2021 – Onderzoekers van Kaspersky hebben begin 2021 nog een zero-day exploit ontdekt, na verdere analyse van de reeds gerapporteerdeCVE-2021-1732-exploitdie door de BITTER APT-groep werd gebruikt. De experts zijn momenteel niet in staat om deze exploit te koppelen aan een bekende dreigingsactor.

Een zero-day kwetsbaarheid is een onbekende softwarebug. Bij identificatie en ontdekking stelt het aanvallers in staat om op de achtergrond schadelijke activiteiten uit te voeren, met onverwachte en destructieve gevolgen.

Tijdens het analyseren van de CVE-2021-1732 exploit, vonden Kaspersky-experts nog een zero-day exploit en meldden deze in februari aan Microsoft. Na bevestiging dat het om een zero-day ging, kreeg deze de aanduiding CVE-2021-28310.

Volgens de onderzoekers wordt deze exploit willekeurig gebruikt, mogelijk door verschillende bedreigingsactoren. Het is een escalation of privilege (EoP) exploit, gevonden in Desktop Window Manager, die aanvallers in staat stelt lukraak codes uit te voeren op de computer van een slachtoffer.

Het is waarschijnlijk dat de exploit samen met andere browser-exploits wordt gebruikt om aan sandboxes te ontsnappen of systeemrechten te verkrijgen voor verdere toegang.

Kaspersky's eerste onderzoek heeft niet de volledige infection chain aan het licht gebracht, dus het is niet bekend of de exploit samen met een andere zero-day wordt gebruikt, of is gekoppeld aan bekende, gepatchte kwetsbaarheden.

"De exploit werd in eerste instantie geïdentificeerd door onze geavanceerde exploit-preventietechnologie en bijbehorende detectierecords. In feite hebben we de afgelopen jaren een veelvoud aan exploit-beschermingstechnologieën in onze producten ingebouwd die verschillende zero-days hebben gedetecteerd en hun effectiviteit keer op keer bewijzen. We zullen de verdediging van onze gebruikers blijven verbeteren door onze technologieën te optimaliseren en samen te werken met externe leveranciers om kwetsbaarheden te patchen, zodat het internet voor iedereen veiliger wordt", aldus Boris Larin, beveiligingsexpert bij Kaspersky.

Meer informatie over BITTER APT en IOC's is beschikbaar voor klanten van de Kaspersky Intelligence Reporting service. Contact: intelreports@kaspersky.com.

Een patch voor de 'elevation of privilege vulnerability' CVE-2021-28310 werd uitgebracht op 13 april 2021.

Kaspersky producten detecteren deze exploit met de volgende uitspraken:

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

Kaspersky raadt u aan de volgende beveiligingsmaatregelen te nemen om u tegen deze dreiging te beschermen:

  • Installeer zo snel mogelijk patches voor de nieuwe kwetsbaarheid. Zodra deze zijn gedownload, kunnen bedreigers de kwetsbaarheid niet langer misbruiken.
  • Kwetsbaarheids- en patchbeheermogelijkheden in een endpoint protection solution kunnen de taak voor IT-beveiligingsmanagers aanzienlijk vereenvoudigen.
  • Geef SOC-team toegang tot de nieuwste informatie over bedreigingen (TI). Kaspersky Threat Intelligence Portal is een centraal toegangspunt voor de TI van het bedrijf, dat cyberaanvalgegevens en inzichten biedt, die al meer dan 20 jaar door Kaspersky worden verzameld.
  • Implementeer niet alleen essentiële endpoint protection, maar ook een beveiligingsoplossing van bedrijfsniveau die geavanceerde bedreigingen op netwerkniveau in een vroeg stadium detecteert, zoals Kaspersky Anti Targeted Attack Platform.

Voor meer details over de nieuwe exploits, zie het volledige rapport op Securelist.

Om meer te weten te komen over de technologieën waarmee deze en andere zero-days in Microsoft Windows zijn opgespoord, is er een webinar beschikbaar die op aanvraag kan worden bekeken.

Kaspersky vindt zero-day exploit in Desktop Window Manager

Onderzoekers van Kaspersky hebben begin 2021 nog een zero-day exploit ontdekt, na verdere analyse van de reeds gerapporteerde CVE-2021-1732-exploit die door de BITTER APT-groep werd gebruikt.
Kaspersky Logo

Verwant artikel Nieuws

  • Meer dan 2 op de 5 Nederlandse bedrijfsleiders is er niet zeker van dat ex-werknemers geen toegang hebben tot digitale middelen

    Personeelsvermindering kan leiden tot extra cybersecurityrisico’s blijkt uit recent onderzoek van Kaspersky naar het gedrag van mkb’s tijdens crises. Zo is nog geen 3 op de 5 (58%) van de Nederlandse bedrijfsleiders ervan overtuigd dat hun ex-werknemers geen toegang meer hebben tot de bedrijfsgegevens die zijn opgeslagen in de cloud, en zelfs meer dan 1 op 10 (12%) is er niet zeker van of ex-werknemers geen bedrijfsaccounts meer kunnen gebruiken.
    Lees meer >

  • Digitaal geweld via stalkerware toont weinig tekenen van afname

    In 2022 waren bijna 30.000 mobiele gebruikers wereldwijd het doelwit van stalkerware (geheime observatiesoftware die door huiselijk geweldplegers wordt gebruikt om slachtoffers te volgen), volgens het laatste Kaspersky State of Stalkerware-rapport.
    Lees meer >

  • Aanvallen in de industriële sector nemen toe: een jaaroverzicht van Kaspersky

    In 2022 werd meer dan 40 procent van de operationele technologie (OT) computers getroffen door kwaadaardige objecten, zo blijkt uit het ICS threat landscape report van Kaspersky. In de tweede helft van 2022 werd de industriële sector wereldwijd getroffen door de meeste aanvallen (34,3%). Deze periode werd ook gekenmerkt door een toenemend aantal aanvallen die werden uitgevoerd met behulp van kwaadaardige scripts, phishingpagina's (JS en HTML) en denylisted bronnen. Aanvallen op de automotive-industrie en de energiesector lieten een ongekende groei zien en waren goed voor 36,9 procent en 34,5 procent van alle industrieën.
    Lees meer >