Microsoft maakt misbruik van Windows Update mogelijk om schadelijke programma’s uit te voeren

De Windows Update-client is zojuist toegevoegd aan de lijst met LoLBins Living-off-the-Land Binaries die aanvallers kunnen gebruiken om kwaadaardige code op Windows-systemen uit te voeren. LoLBins zijn door Microsoft ondertekende uitvoerbare bestanden, vooraf geïnstalleerd of gedownload die kunnen worden misbruikt door bedreigingsactoren om detectie te omzeilen tijdens het downloaden, installeren of uitvoeren van schadelijke code.

Ze kunnen ook worden gebruikt door aanvallers bij hun pogingen om Windows User Account Control (UAC) of Windows Defender Application Control (WDAC) te omzeilen en om persistentie te verkrijgen op reeds gecompromitteerde systemen.

Uitvoeren van schadelijke code met behulp van kwaadaardige DLL’s

De WSUS / Windows Update-client (wuauclt) is een hulpprogramma op % windir% \ system32 \ dat gebruikers gedeeltelijke controle geeft over een deel van de functionaliteit van Windows Update Agent vanaf de opdrachtregel.

Hiermee kunt u controleren op nieuwe updates en deze installeren zonder de gebruikersinterface van Windows te hoeven gebruiken, maar in plaats daarvan te activeren vanuit een opdrachtpromptvenster.

Door de  optie / ResetAuthorization te gebruiken, kan een handmatige updatecontrole worden gestart op de lokaal geconfigureerde WSUS-server of via de Windows Update-service volgens Microsoft .

MDSec-onderzoeker David Middlehurst ontdekte echter dat wuauclt ook door aanvallers kan worden gebruikt om kwaadaardige code op Windows 10-systemen uit te voeren door deze te laden vanaf een willekeurige speciaal vervaardigde DLL met de volgende opdrachtregelopties:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Zoals te zien is in de bovenstaande schermafbeelding, is de Full_Path_To_DLL het absolute pad naar het speciaal vervaardigde DLL-bestand van de aanvaller dat code zou uitvoeren bij het bijvoegen.

Deze verdedigingstechniek wordt door MITRE ATT & CK gecategoriseerd als Signed Binary Proxy Execution via Rundll32 en stelt aanvallers in staat om antivirus, applicatiebeheer en digitale certificaatvalidatie te omzeilen

In dit geval wordt dit gedaan door schadelijke code uit te voeren vanaf een DLL die is geladen met een ondertekend Microsoft-binair bestand, de Windows Update-client (wuauclt).

Nadat hij had ontdekt dat wuauclt ook als een LoLBin kan worden gebruikt, vond Middlehurst ook een monster dat het in het wild gebruikte.

Microsoft heeft onlangs de Windows 10 Microsoft Defender-antivirus bijgewerkt, ironisch genoeg en stilletjes een manier toegevoegd om bestanden die mogelijk kwaadaardig zijn, naar Windows-apparaten te downloaden.

Microsoft heeft later de mogelijkheid verwijderd van MpCmdRun.exe het Microsoft Antimalware Service Command Line Utility.

Ernstige kwetsbaarheid verholpen in Microsoft Exchange

Het NCSC, Nationaal Cyber Security Centrum, meldt op Twitter en haar website dat er zich een ernstige kwetsbaarheid bevindt in Microsoft Exchange Server. De kwetsbaarheid ontstaat door een onjuiste afhandeling van objecten in het geheugen. Bij succesvol misbruik van deze kwetsbaarheid stelt het een niet geauthentiseerde kwaadwillende in staat om op afstand willekeurige code uit te voeren met SYSTEEM-rechten. Een voorwaarde voor misbruik is het versturen van een malafide email naar een kwetsbare Microsoft Exchange Server.

Mogelijke oplossingen

Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele ‘work-arounds’ vindt u op:

   https://portal.msrc.microsoft.com/en-us/security-guidance

vandaagHoogHoogNCSC-2020-0715 [1.00]Signed-PGP →
Kenmerken(Remote) code execution (Administrator/Root rechten)
OmschrijvingEr bevindt zich een ernstige kwetsbaarheid in Microsoft Exchange Server. De kwetsbaarheid ontstaat door een onjuiste afhandeling van objecten in het geheugen. Bij succesvol misbruik van deze kwetsbaarheid stelt het een niet-geauthenticeerde kwaadwillende op afstand in staat om willekeurige code uit te voeren met SYSTEM-rechten. Een voorwaarde voor misbruik is het versturen van een malafide email naar een kwetsbare Microsoft Exchange Server.
BereikPlatforms Producten Versies Microsoft Windows Microsoft Exchange Server 2016 2019
OplossingenMicrosoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds [Link]
CVE’sCVE-2020-16875
KansOnderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld. high ∑ = 29 Is de kwetsbaarheid aanwezig in de standaard configuratie/ installatie? Onduidelijk/Ja 3 Is er exploit-code beschikbaar? Nee (nog niet) 1 Wordt de kwetsbaarheid in de praktijk gebruikt? Nee (nog niet) 1 Zijn er technische details beschikbaar? Beperkt 2 Welke toegang is er nodig? Internet 6 Vereiste credentials Geen 4 Hoe moeilijk is het om de kwetsbaarheid uit te buiten? Eenvoudig 3 Is er gebruikers interactie nodig? Geen handelingen 4 Wordt misbruik of een exploit verwacht? Ja binnenkort 3 Is er een oplossing beschikbaar? Korter dan twee maanden 2
SchadeOnderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade. high Denial of Service Nee low Uitvoeren van willekeurige code Ja, Root/Administrator-rechten high Rechten op afstand (remote [root-] shell) Nee low Verwerven lokale admin/root-rechten (privilege escalation) Nee low Lekken van (gevoelige) informatie Nee low
vandaaghighhighNCSC-2020-0715 [1.00]Signed-PGP →

Waarschuwing voor Tycoon ransomware gericht op Windows computers

FBI Internet Crime Complaint Center (IC3) publiceerde vorig jaar het “Internet Crime Report“. Uit het rapport bleek dat cybercriminaliteit in 2019 een enorme $ 3,5 miljard (€ 3 miljard) had gekost. Aanvallers gebruiken ransomware om geld te extraheren van bedrijven en individuele gebruikers. De beveiligingsonderzoekseenheid van BlackBerry heeft onlangs een nieuwe ransomware ontdekt die een Europese onderwijsinstelling heeft getroffen. In tegenstelling tot de meeste tot nu toe ontdekte ransomware, is deze nieuwe ransomware-module gecompileerd in een Java-afbeeldingsbestandsindeling (JIMAGE). JIMAGE is een bestandsformaat dat aangepaste JRE-afbeeldingen opslaat die is ontworpen om tijdens runtime door de Java Virtual Machine (JVM) te worden gebruikt.

Zo gaat de aanval in zijn werk:

  • Om persistentie op de machine van het slachtoffer te bereiken, hadden de aanvallers een techniek gebruikt die injectie met Image File Execution Options (IFEO) wordt genoemd. IFEO-instellingen worden opgeslagen in het Windows-register. Deze instellingen geven ontwikkelaars de mogelijkheid om hun software te debuggen door de bijlage van een debugtoepassing tijdens de uitvoering van een doeltoepassing.
  • Vervolgens werd een achterdeur uitgevoerd naast de Microsoft Windows On-Screen Keyboard (OSK) -functie van het besturingssysteem.
  • De aanvallers hebben de anti-malware-oplossing van de organisatie uitgeschakeld met behulp van het ProcessHacker-hulpprogramma en de wachtwoorden voor Active Directory-servers gewijzigd. Hierdoor heeft het slachtoffer geen toegang tot zijn systemen.
  • De meeste bestanden van de aanvaller waren tijdgestempeld, inclusief de Java-bibliotheken en het uitvoeringsscript, en hadden tijdstempels van de bestandsdatum van 11 april 2020, 15:16:22
  • Ten slotte voerden de aanvallers de Java-ransomwaremodule uit, waarmee ze alle bestandsservers versleutelden, inclusief back-upsystemen die op het netwerk waren aangesloten.

Na het uitpakken van het zipbestand dat bij de ransomware hoort, zijn er drie modules in de naam van “tycoon”. Het team van Blackberry heeft deze ransomware dus als tycoon genoemd. Bekijk hieronder de losgeldbrief van tycoon.

U kunt meer details over ransomware vinden via de onderstaande link.

Wat is ransomware?

Pin It on Pinterest