Zeroday in Windows werd meer dan een jaar lang misbruikt
Software-ontwikkelaars zoals Microsoft houden steeds een lijst bij met gekende veiligheidsproblemen, zodat ze die kunnen oplossen. Wanneer er een veiligheidsprobleem is waarvan de fabrikant niet op de hoogte is, spreekt men van een zeroday. Cybercriminelen misbruikten zo’n zeroday in Windows 10 en 11 maar liefst een jaar lang voor het lek gedicht werd.
Internet Explorer
Dat is wat de onderzoekers van Check Point hebben kunnen achterhalen. Om binnen te dringen in pc’s maakten de hackers gebruik van Internet Explorer. De voorloper van Microsoft Edge werd in 2022 definitief afgeserveerd omdat de code verouderd en niet veilig meer was. Sindsdien is het voor gebruikers bijna onmogelijk om die oude browser nog te openen, maar met een omweg lukt het hackers wel.
Het eerste dat de hackers nodig hebben, is dat nietsvermoedende gebruikers een bestand van het internet downloaden. Dat bestand ziet eruit als een .PDF-bestand, maar is eigenlijk een .url-bestand of link. Wanneer je het ‘bestand’ in Windows ziet staan, zal je echter niet kunnen zien dat het om een URL gaat: het icoontje en de bestandsextensie doen iets anders vermoeden. Wanneer gebruikers de PDF openen, openen ze eigenlijk een link.
Hierna gaat de bal aan het rollen. Normaal gezien worden links altijd geopend in Microsoft Edge of een andere browser die je als standaard hebt ingesteld. In dit geval gebeurt dat niet: de hackers voegen wat informatie toe aan de url, waardoor die de verouderde Internet Explorer opent. Dat geeft aanvallers vrij spel: voor een hacker is het namelijk relatief simpel om een browser als Internet Explorer te kapen. Voor modernere browsers zoals Google Chrome en Edge is dat veel moeilijker, maar Explorer is veel minder sterk beveiligd. De browser krijgt ook al sinds 2022 geen updates meer, waardoor beveiligingslekken onopgemerkt kunnen voortbestaan.
Toestemming vereist
In dit geval vraagt Internet Explorer toestemming om het .PDF-bestand te openen. Eens je die toestemming gegeven hebt, krijg je een systeemdialoog te zien: of er content van het web geopend mag worden? Meeste gebruikers gaan er vanuit dat het hier om het .PDF-bestand gaat, maar dat is dus niet het geval. Door op ‘Toestaan’ te klikken, geef je hackers toestemming op vanop afstand code op je toestel uit te voeren.
Microsoft dichtte het lek inmiddels, met de laatste Patch Tuesday-update. Toch werd er bij heel wat Windows-pc’s binnengedrongen op deze manier: Check Point ziet bewijs dat deze aanval al in januari 2023 uitgevoerd werd. Met andere woorden: het duurde meer dan een volledig jaar voor het beveiligingslek ontdekt en gedicht werd.
Dat maakt nog maar eens duidelijk dat je best bewust bent van wat je precies downloadt. Best zorg je ervoor dat je enkel zaken downloadt van bronnen die je vertrouwt.
