Microsoft herstelt Windows zero-day die is uitgebuit in aanvallen op Oekraïne
Vermoedelijke Russische hackers zijn betrapt op het uitbuiten van een onlangs gepatchte Windows-kwetsbaarheid als een zero-day in voortdurende aanvallen gericht op Oekraïense entiteiten.
Het beveiligingslek (CVE-2024-43451) is een NTLM Hash Disclosure spoofing-kwetsbaarheid, gemeld door ClearSky-beveiligingsonderzoekers. Het kan worden misbruikt om de NTLMv2-hash van de ingelogde gebruiker te stelen door verbindingen af te dwingen naar een door een aanvaller gecontroleerde externe server.
ClearSky ontdekte deze campagne in juni na het observeren van phishing-e-mails die waren ontworpen om deze uitbuiting te bewerkstelligen. Deze e-mails bevatten hyperlinks die een Internet-snelkoppelingbestand zouden downloaden, gehost op een eerder gecompromitteerde server (osvita-kp.gov[.]ua) die toebehoort aan het Departement Onderwijs en Wetenschap van de gemeenteraad van Kamianets-Podilskyi.
“Wanneer de gebruiker interactie heeft met het URL-bestand door erop te klikken met de rechtermuisknop, het te verwijderen of te verplaatsen, wordt de kwetsbaarheid geactiveerd,” zei ClearSky.
Wanneer dit gebeurt, wordt een verbinding met een externe server gecreëerd om malware-payloads te downloaden, waaronder de SparkRAT open-source en multi-platform remote access tool die aanvallers in staat stelt om op afstand controle te krijgen over gecompromitteerde systemen.
Tijdens het onderzoeken van het incident werden de onderzoekers ook gewaarschuwd voor een poging om een NTLM-hash te stelen via het Server Message Block (SMB)-protocol. Deze wachtwoord-hashes kunnen worden gebruikt in “pass-the-hash” aanvallen of gekraakt worden om het platte tekst wachtwoord van een gebruiker te verkrijgen.
ClearSky deelde deze informatie met het Computer Emergency Response Team van Oekraïne (CERT-UA), dat de aanvallen linkte aan hackers die deel uitmaken van een dreigingsgroep waarvan wordt gedacht dat ze Russisch zijn en gevolgd worden als UAC-0194.
Gisteren patchte Microsoft de kwetsbaarheid als onderdeel van de november 2024 Patch Tuesday en bevestigde de bevindingen van ClearSky, waarbij ze zeiden dat gebruikersinteractie vereist is voor succesvolle exploitatie.
“Deze kwetsbaarheid onthult een NTLMv2-hash van een gebruiker aan de aanvaller, die deze kan gebruiken om als de gebruiker te authenticeren,” legde Redmond’s advies uit.
“Minimale interactie met een kwaadaardig bestand door een gebruiker, zoals het selecteren hiervan (met een enkele klik), inspecteren (met de rechtermuisknop klikken) of een andere handeling dan openen of uitvoeren, kan deze kwetsbaarheid activeren.”
Het bedrijf zegt dat CVE-2024-43451 invloed heeft op alle ondersteunde Windows-versies, waaronder Windows 10 of later en Windows Server 2008 en hoger.
CISA heeft de kwetsbaarheid ook aan zijn Catalogus van Bekende Uitgebuite Kwetsbaarheden toegevoegd, met als opdracht om kwetsbare systemen op hun netwerken tegen 3 december te beveiligen, zoals vereist door de Bindende Operationele Richtlijn (BOD) 22-01.
“Dit soort kwetsbaarheden zijn vaak aanvalsvectoren voor kwaadaardige cyberactoren en vormen aanzienlijke risico’s voor de federale onderneming,” waarschuwde het cybersecurity-agentschap.
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----