Minstens 11 door de staat gesponsorde hackgroepen uit Noord-Korea, Iran, Rusland, en China hebben actief misbruik gemaakt van een onlangs ontdekte Windows zero-day kwetsbaarheid in cyberespionage en datadiefstalaanvallen sinds 2017. Ondanks duidelijk bewijs van uitbuiting, Microsoft heeft geweigerd een beveiligingsupdate uit te brengen om het probleem op te lossen.
Microsoft weigert ZDI-CAN-25373 te patchen
beveiliging onderzoekers Peter Girnus en Aliakbar Zahravi van het Zero Day Initiative van Trend Micro (kortweg bekend als ZDI) onthulde dat bijna 1,000 Shell-koppeling (.lnk) samples het uitbuiten van deze kwetsbaarheid, gevolgd als ZDI-CAN-25373, zijn geïdentificeerd. De schatting is dat het werkelijke aantal pogingen tot misbruik veel hoger ligt.
De onderzoekers dienden een proof-of-concept (PoC) exploiteren via het bug bounty-programma van Trend Micro ZDI. Echter, Microsoft heeft de kwetsbaarheid geclassificeerd als “niet voldoen aan de norm voor service” en weigerde het te patchen.
Wereldwijde spionage en gegevensdiefstal op grote schaal
Dreigingsactoren hebben gebruikgemaakt van ZDI-CAN-25373 bij wijdverspreide cyberaanvallen in Noord Amerika, Zuid-Amerika, Europa, Oost-Azië, en Australië. De meerderheid van deze aanvallen, rond 70%, zijn in verband gebracht met spionage en gegevensdiefstal, terwijl financiële motieven ongeveer verantwoordelijk waren 20%.
Tot de hackersgroepen die deze kwetsbaarheid uitbuiten, behoren bekende door de staat gesponsorde actoren zoals Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang-panda, Zijwind, RoodHotel, en Konni. Deze APT-cybercriminelen hebben diverse malware-payloads ingezet, Inclusief Ursnif, Gh0st RAT, en Truc bot, gebruik maken van malware-as-a-service platforms om hun bereik verder uit te breiden.
Hoe werkt de kwetsbaarheid??
De Windows zero-day-kwetsbaarheid wordt veroorzaakt door een Gebruikersinterface (UI) Misrepresentatie van kritische informatie zwakte. Het maakt gebruik van de manier waarop Windows omgaat met .lnk snelkoppelingsbestanden, waardoor aanvallers willekeurige code op doelapparaten kunnen uitvoeren en detectie kunnen ontwijken.
Aanvallers manipuleren .lnk bestanden door verborgen opdrachtregelargumenten in te voegen met behulp van opgevulde witruimtes, die de vorm kunnen aannemen van gecodeerde hex-tekens, zoals:
\x20(Ruimte)\x09(Horizontale tab)\x0A(Lijnvoeding)\x0B(Verticaal tabblad)\x0C(Formulier Feed)\x0D(Wagenretour)
Deze verborgen ruimtes voorkomen dat gebruikers schadelijke argumenten in de Windows-gebruikersinterface zien, waardoor aanvallers heimelijk opdrachten kunnen uitvoeren.
Microsoft moet nog een toewijzing doen CVE-ID aan deze kwetsbaarheid, terwijl Trend Micro het blijft volgen als ZDI-CAN-25373. Het probleem lijkt veel op een andere kwetsbaarheid, CVE-2024-43461, die door de Void Banshee APT-groep werd gebruikt om aanvallen in Noord-Amerika uit te voeren, Europa, en Zuidoost-Azië. Microsoft heeft CVE-2024-43461 in september gepatcht 2024 Patch Tuesday.
Ondanks de groeiende bezorgdheid van veiligheidsonderzoekers, Microsoft heeft geen enkele indicatie gegeven dat er een patch voor ZDI-CAN-25373 zal worden vrijgegeven, waardoor Windows-gebruikers worden blootgesteld aan voortdurende cyberdreigingen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: