Microsoft doet lovenswaardig werk als het gaat om Windows-beveiliging. Het beveiligen van miljarden apparaten is geen sinecure. Soms lijkt het er echter op dat iemand bij Microsoft de grenzen verlegt met betrekking tot specifieke kwetsbaarheden.
Neem de volgende aanvalsmethode als voorbeeld. Het is een kwetsbaarheid in .lnk-snelkoppelingen die wordt misbruikt om malwaredownloads te activeren. Het wasontdekt door Trend Microin 2024 en gerapporteerd aan Microsoft in september 2024.
Beveiligingsingenieurs bij Trend Micro zeggen dat het probleem al sinds 2017 wordt uitgebuit en dat er al bijna duizend van deze links in het wild zijn gevonden.
Deze links bevatten volgens Trend Micro megabytes aan witruimtetekens om antivirus- en andere beveiligingsoplossingen voor de gek te houden. Aanvallen komen volgens de onderzoekers slechts uit vier landen: Noord-Korea, China, Rusland en Iran. Trend Micro onthulde dat de overgrote meerderheid van de aanvallen afkomstig is van door de staat gesponsorde aanvalsploegen en in de categorie informatiediefstal en spionage valt. De overheid was het meest het doelwit, gevolgd door de particuliere en financiële sector, denktanks en telecommunicatie.
De aanvallers downloaden en installeren verschillende malware-payloads op succesvol uitgebuite systemen. Onder hen beruchte payloads en laders zoals Lumma Stealer of GuLoader.
Microsoft heeft geen actie ondernomen op basis van de verstrekte informatie. Trend Micro zegt dat het heeft besloten de informatie openbaar te maken vanwege de inactiviteit van Microsoft. De dreiging “vormt een aanzienlijk risico” voor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens die worden beheerd door overheden, kritieke infrastructuur en particuliere organisaties wereldwijd”, aldus de onderzoekers.
Microsoft classificeerde het probleem volgens Trend Micro als laag ernstig, wat aangeeft dat het probleem mogelijk niet in de “onmiddellijke toekomst” zal worden opgelost.
In een reactie opHet registermoedigde een Microsoft-woordvoerder klanten aan om “voorzichtig te zijn bij het downloaden van bestanden van onbekende bronnen”.
Snelkoppelingsbestanden kunnen worden geanalyseerd op lokale Windows-systemen. Het probleem met de bekendgemaakte kwetsbaarheid is dat de linkbestanden specifiek zijn vervaardigd. Dit betekent dat de gebruiker de exploit niet zal zien bij het analyseren van de linksnelkoppeling volgens Trend Micro.
Sommige beveiligingsoplossingen herkennen deze kwaadaardige snelkoppelingen mogelijk al, andere zullen dit in de nabije toekomst mogelijk doen.
Nu jij: wat is uw mening hierover? Moet Microsoft een oplossing ontwikkelen en deze vrijgeven? Laat gerust een reactie achter hieronder.