Den tilsynelatende uvesentlige sårbarheten i Internet Explorer og Edge, som nå blir fjernet, har gjort det mulig for skadevarekampanjer å gå under radaren til sikkerhetsforskere. (Bilde: Microsoft og digi.no)

Patch Tuesday

Microsoft fjernet sårbarhet som har blitt brukt av angripere i flere år

Kunne se ubetydelig ut, men var et viktig ledd for skadevarekampanjer.

Som alltid de andre tirsdagen hver måned, kom Microsoft også denne uken med en rekke sikkerhetsoppdateringer til selskapets programvare. Vanligvis er dette lite spennende, siden det handler mest om å fjerne sårbarheter før de oppdages av ondsinnede som ønsker å gjøre skade. 

Men denne gang kom det én sikkerhetsfiks til nettleserne Internet Explorer og Edge som fortjener litt ekstra oppmerksomhet. Ikke fordi sårbarheten som fjernes alene er så alvorlig, men fordi den har blitt brukt i angrep i alle fall siden januar 2014

Les også: Let's Encrypt utnyttes til å skjule skadevare

Ble varslet i fjor

Dette opplyser en sikkerhetsforsker hos Proofpoint som bare er kjent under kallenavnet Kafeine i et blogginnlegg. Proofpoint skal ha samarbeidet med Trend Micro om å avdekke en stor «malvertising»-kampanje kalt GooNky, altså spredning av skadevare gjennom nettannonser, da sårbarheten ble oppdaget. Det er ZDNet som først omtalte dette. 

De to selskapene skal ha varslet Microsoft om sårbarheten i fjor, men uten at selskapet gjorde noe med den, muligens fordi sårbarheten så ganske uskyldig ut.

I år skal sikkerhetsforskerne ha funnet at også en annen slik malvertising-kampanje, AdGholas, utnytter den samme sårbarheten. Derfor varslet de Microsoft på nytt, og denne gang reagerte selskapet. 

Leste du denne? Microsoft lekket «universalnøkkel» til Secure Boot ved et uhell

Filtrerer vekk testsystemer

Microsoft karakteriserer sikkerhetsfiksen som viktig, men ikke kritisk. Sårbarheten kan ifølge Kafeine utnyttes som i en MIME-type-kontroll for å filtrere ut systemer hvor Windows-skallet er assosiert med blant annet filetternavn som .py, .pcap, og .saz. Dette er fil-assosiasjoner som kanskje ikke er så vanlige hos ordinære pc-brukere, men som nok er desto vanligere i automatiserte systemer som forsøker å avsløre skadevare.

I andre tilfeller blir sårbarheten brukt til å finne fram til systemer hvor skallet er assosiert med filetternavn som.doc, .mkv, .torrent, og .skype, noe som kan være nødvendig for det senere trinn i angrepet. 

Positivt: Eldre Windows-versjoner skal få langt færre oppdateringer

Økende bruk

– Trusselaktører utnytter i økende grad ikke-kritiske feil og lavnivå-sårbarheter som kanskje forblir tilgjengelige i måneder eller år før de patches. I dette tilfellet brukte AdGholas-gruppen en programvarefeil spesielt for å unngå å bli oppdaget av de automatiserte systemene til sikkerhetsforskere og leverandøren, og dermed holde seg under radaren selv mens de utførte en massiv og langvarig malvertising-operasjon, skriver Kafeine.

Han mener det derfor det er viktig at også programvaresårbarheter som alene ikke er så alvorlige, blir fjernet raskt.

Les også: Enkle grep kan verne mot skummel skadevare

Kommentarer (0)

Kommentarer (0)
Til toppen