Kwetsbaarheid ontdekt in Kernel Transaction Manager

december 13, 2018

Cybercriminelen gaan door met het stress-testen van Windows, en onze berschermingstechnologieën gaan door met het opsporen van hun pogingen en voorkomen uitbuiting. Het is niet de eerste, of zelfs tweede ontdekking in zijn soort gedurende de afgelopen drie maanden. Dit keer hebben onze systemen een poging ontdekt tot uitbuiting van de kwetsbaarheden in Windows Kernel Transaction Manager.

De nieuwe zero-day exploit werd gebruikt tegen verscheidene slachtoffers in het Midden Oosten en Azië. De kwetsbaarheid die werd uitgebuit, CVE-2018-8611, stond een verhoging van privileges toe in gevallen waar de Windows kernel faalt wat betreft objecten in het geheugen. Het resultaat is dat malefactors willekeurige codes kunnen toepassen in kernel-modus.

In de praktijk betekent dit dat malefactors programma’s kunnen installeren, data kunnen inzien of bewerken, of zelfs nieuwe accounts aanmaken. Volgens onze experts kan de uitbuiting ook gebruikt worden om de zandbak in moderne internetbrowsers, inclusief Chrome en Edge, te ontwijken. Voor technische details verwijzen we door naar deze post over Securelist. Meer informatie over CVE-2018-8611 en de uitbuiters hiervan is beschikbaar voor gebruikers van Kaspersky Intelligence Reports: neem in dit geval contact op met intelreports@kaspersky.com

Onze experts deden verslag van deze kwetsbaarheid bij de ontwikkelaars, en Microsoft heeft een betreffende patch uitgebracht die de handeling van Windows kernel objecten in het geheugen corrigeert.

Hoe je je veiligheid kunt waarborgen

Wederom volgt hier ons algemeen advies voor kwetsbaarheden:

  • Als de uitbuiter slechts enkele slachtoffers heeft gevonden, biedt dit geen garantie voor veiligheid. Vanaf het moment van ontmanteling is het mogelijk dat meer cybercriminelen het proberen uit te buiten, dus installeer de patch onmiddellijk.
  • Update alle bedrijfssoftware met regelmaat.
  • Maak gebruik van beveiligingsproducten die automatisch kwetsbaarheden onderzoekt en met patch management opties.
  • Maak gebruik van een veiligheidsuitkomst voorzien van gedragsmatige detectie voor een effectieve bescherming tegen onbekende bedreigingen inclusief zero-day exploits.

Let op dat de kwetsbaarheid vrijwel onbekend was vóór onze beschermingstechnologieën de uitbuiting ontdekten. Daarom kunnen wij specifieke producten aanraden die jouw veiligheid kunnen waarborgen. De eerste is onze uitkomst die specifiek is gemaakt om te beschermen tegen APT-bedreigingen – Kaspersky Anti Targeted Attack Platform, met zijn geavanceerde zandbak en antimalware-motor. Ten tweede, Kaspersky Endpoint Security voor Business, heeft ingebouwde automatische exploit preventietechnologieën, die ook de CVE-2018-8611 kwetsbaarheid heeft gedetecteerd.