Microsoft heeft vandaag een Oostenrijks bedrijf beschuldigd van het uitvoeren van zeroday-aanvallen tegen klanten in Europa en Centraal-Amerika. Het gaat om advocatenkantoren, banken en strategische consultancybedrijven in onder andere Oostenrijk, het Verenigd Koninkrijk en Panama. Volgens Microsoft is het Oostenrijkse DSIRF een “cyberhuurling” die via verschillende businessmodellen hackingtools en -diensten aanbiedt. Daarbij zou DSIRF gebruikmaken van kwetsbaarheden in onder andere Adobe PDF Reader en Windows.
Twee weken geleden kwam Microsoft nog met een beveiligingsupdate voor een zerodaylek in het Client Server Runtime Subsystem van Windows waardoor een aanvaller die al toegang tot een computer heeft systeemrechten kan krijgen. Daarmee heeft de aanvaller volledige controle over het systeem. Het zerodaylek in Windows is niet voldoende om computers op afstand over te nemen en moet met een andere kwetsbaarheid worden gecombineerd. Microsoft vermoedt dat de aanvallers hiervoor een kwetsbaarheid in Adobe Reader gebruikten.
Bij de aanval die Microsoft onderzocht en in mei van dit jaar plaatsvond verstuurden de aanvallers een PDF-document naar het slachtoffer, waarbij kwetsbaarheden in Adobe Reader en Windows werden gecombineerd. Het lukte Microsoft niet om het PDF-bestand of de gebruikte Adobe-exploit veilig te stellen. Het slachtoffer draaide een Adobe Reader-versie van januari dit jaar. Daardoor zou het om een zerodaylek of recent verholpen kwetsbaarheid kunnen gaan. DSIRF maakt volgens Microsoft gebruik van malware met de naam “Subzero“. In het verleden is deze malware ook verspreid door middel van andere kwetsbaarheden in Adobe Reader en Windows.
Naast de waarschuwing geeft Microsoft ook details en indicators of compromise waarmee organisaties en gebruikers kunnen zien of ze zijn besmet. Verder adviseert het techbedrijf om de update voor het zerodaylek in Windows (CVE-2022-22047) te installeren, controleren dat Microsoft Defender Antivirus intelligence update 1.371.503.0 of nieuwer draait, het aanpassen van macro-instellingen in Excel, het inschakelen van multifactorauthenticatie en het controleren van de inloggeschiedenis van accounts die op afstand inloggen, en dan met name single factor accounts.
Bron: Security.nl