{"id":27720,"date":"2021-10-15T12:09:31","date_gmt":"2021-10-15T10:09:31","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=27720"},"modified":"2021-10-15T12:09:31","modified_gmt":"2021-10-15T10:09:31","slug":"mysterysnail-cve-2021-40449","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/mysterysnail-cve-2021-40449\/27720\/","title":{"rendered":"MysterySnail glipt door zero-day-kwetsbaarheid"},"content":{"rendered":"<p>Onze Behavioral Detection Engine en Exploit Prevention-technologie\u00ebn hebben onlangs de exploitatie van een kwetsbaarheid in de Win32k-kerneldriver gedetecteerd, wat heeft geleid tot een onderzoek naar de volledige cybercriminele operatie achter de exploitatie. We meldden de kwetsbaarheid (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-40449<\/a>) aan Microsoft, en het bedrijf patchte deze in een reguliere update die op 12 oktober is uitgebracht. Daarom raden we aan om, zoals gebruikelijk na Patch Tuesday, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">Microsoft Windows zo snel mogelijk te updaten<\/a>.<\/p>\n<h2>Waar CVE-2021-40449 voor werd gebruikt<\/h2>\n<p>CVE-2021-40449 is een <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/\" target=\"_blank\" rel=\"noopener\">use-after-free-kwetsbaarheid<\/a> in de NtGdiResetDC-functie van de Win32k-driver. Een gedetailleerde technische beschrijving is beschikbaar in onze <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">Securelist-post<\/a>, maar kort samengevat kan de kwetsbaarheid leiden tot het lekken van adressen van kernelmodules in het geheugen van de computer. Cybercriminelen gebruiken het lek vervolgens om de privileges van een ander schadelijk proces te verhogen.<\/p>\n<p>Via privilege-escalatie konden aanvallers MysterySnail downloaden en lanceren, een <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/rat-remote-access-tools\/\" target=\"_blank\" rel=\"noopener\">Remote Access Trojan (RAT)<\/a> die aanvallers toegang geeft tot het systeem van het slachtoffer.<\/p>\n<h2>Wat MysterySnail doet<\/h2>\n<p>De Trojan begint met het verzamelen van informatie over het ge\u00efnfecteerde systeem en stuurt die naar de C&amp;C-server. Vervolgens kunnen de aanvallers verschillende commando\u2019s uitvoeren via MysterySnail. Ze kunnen bijvoorbeeld een specifiek bestand maken, lezen of verwijderen; een proces aanmaken of verwijderen; een directory-lijst opvragen; of een proxy-kanaal openen en er gegevens doorheen sturen.<\/p>\n<p>Andere functies van MysterySnail omvatten de mogelijkheid om de lijst van aangesloten schijven te bekijken, om de verbinding van externe schijven op de achtergrond te controleren, en nog veel meer. De trojan kan ook de interactieve shell cmd.exe starten (door het cmd.exe-bestand onder een andere naam naar een tijdelijke map te kopi\u00ebren).<\/p>\n<h2>Aanvallen via CVE-2021-40449<\/h2>\n<p>De exploit voor deze kwetsbaarheid bestrijkt een hele reeks besturingssystemen in de Microsoft Windows-familie: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (build 17763) en Server 2019 (build 17763). Volgens onze experts bestaat de exploit specifiek om privileges te escaleren op server-versies van het besturingssysteem.<\/p>\n<p>Na detectie van de bedreiging stelden onze deskundigen vast dat de exploit en de MysterySnail-malware die ermee in het systeem wordt geladen op grote schaal worden gebruikt bij spionageoperaties tegen IT-bedrijven, diplomatieke organisaties en bedrijven die voor de defensie-industrie werken.<\/p>\n<p>Dankzij de Kaspersky Threat Attribution Engine konden onze experts overeenkomsten vinden in de code en functionaliteit van MysterySnail en malware die wordt gebruikt door de IronHusky-groep. Bovendien gebruikte een Chineestalige APT-groep in 2012 enkele van de C&amp;C-serveradressen van MysterySnail.<\/p>\n<p>Voor meer informatie over de aanval, inclusief een gedetailleerde beschrijving van de exploit en de <em>indicators op compromise<\/em> <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">leest u onze Securelist-post<\/a>.<\/p>\n<h2>Hoe u zich hiertegen beschermt<\/h2>\n<p>Begin met het installeren van de nieuwste <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">patches van Microsoft<\/a>, en voorkom dat u in de toekomst wordt getroffen door zero-day-kwetsbaarheden door robuuste beveiligingsoplossingen te installeren die proactief kwetsbaarheden detecteren en de exploitatie ervan stoppen op alle computers met toegang tot het internet. Behavioral Detection Engine and Exploit Prevention-technologie\u00ebn, zoals die in <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>, detecteerden CVE-2021-40449.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Onze beveiligingstechnologie\u00ebn ontdekten de exploitatie van een voorheen onbekende kwetsbaarheid in de Win32k-driver.<\/p>\n","protected":false},"author":2581,"featured_media":27721,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,252,253],"tags":[568,334,469,316,303],"class_list":{"0":"post-27720","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exploits","11":"tag-kwetsbaarheden","12":"tag-rat","13":"tag-trojans","14":"tag-windows"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mysterysnail-cve-2021-40449\/27720\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mysterysnail-cve-2021-40449\/23490\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/18967\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/9499\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/25567\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mysterysnail-cve-2021-40449\/23639\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/23102\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mysterysnail-cve-2021-40449\/26246\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mysterysnail-cve-2021-40449\/25784\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mysterysnail-cve-2021-40449\/31702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mysterysnail-cve-2021-40449\/10158\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/42448\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mysterysnail-cve-2021-40449\/18275\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mysterysnail-cve-2021-40449\/15406\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mysterysnail-cve-2021-40449\/27564\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mysterysnail-cve-2021-40449\/31798\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mysterysnail-cve-2021-40449\/24480\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mysterysnail-cve-2021-40449\/29842\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mysterysnail-cve-2021-40449\/29640\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/kwetsbaarheden\/","name":"kwetsbaarheden"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=27720"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27720\/revisions"}],"predecessor-version":[{"id":27723,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27720\/revisions\/27723"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/27721"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=27720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=27720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=27720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}