Witold Kepinski - 09 juni 2023

Cybercriminelen maken misbruik van kwetsbaarheden in UEFI en bestandsformaten Microsoft

Het aantal cyberaanvallen stagneert op een hoog niveau, zo blijkt uit het nieuwste dreigingsrapport van G DATA CyberDefense. Op dit moment zijn er diverse kwetsbaarheden die door cybercriminelen consequent worden misbruikt. Met behulp van UEFI-bootkits kunnen ze bijvoorbeeld securitymaatregelen omzeilen en zo systemen kwetsbaar

Cybercriminelen maken misbruik van kwetsbaarheden in UEFI en bestandsformaten Microsoft image

maken. Een andere manier is het inzetten van gemanipuleerde OneNote- of Publisher-bestanden die malware bevatten.
Het nieuwste dreigingsrapport van G DATA CyberDefense toont aan dat aanvallers snel inspelen op een veranderende situatie. Zodra softwareontwikkelaars een bekende kwetsbaarheid weten te dichten, zijn cybercriminelen alweer bezig met een volgende kwetsbaarheid. Een voorbeeld hiervan zijn de kwetsbaarheden in de Unified Extensible Firmware Interface (UEFI). Een belangrijke functie in deze interface tussen firmware, het besturingssysteem en computermodules is het opstarten in Secure Boot-modus. Cybercriminelen maken misbruik van bestaande kwetsbaarheden en gebruiken bootkits om security-maatregelen te omzeilen. Hierdoor krijgen aanvallers volledige controle over het opstartproces van een besturingssysteem en kunnen ze securitymaatregelen uitschakelen voordat het besturingssysteem is geladen. Tegelijkertijd kunnen ze niet alleen onopgemerkt handelen, maar zich ook binnen het systeem bewegen op basis van cruciale toegangsrechten.

“Het risico op cyberaanvallen blijft hoog voor zowel bedrijven als individuen,” zegt Eddy Willems, Security Evangelist bij G DATA CyberDefense AG. “Het rapport laat zien dat cybercriminelen geen mogelijkheid onbenut laten om via kwetsbaarheden binnen te dringen in netwerken. En ze vinden steeds weer nieuwe manieren om systemen te infecteren met malware. De kwetsbaarheden in UEFI SecureBoot zijn op dit moment een groot probleem, omdat het vaak lang duurt voordat er patches uitgebracht worden door de ontwikkelaar.”

Onveranderd hoog dreigingsniveau

Het rapport van G DATA CyberDefense laat zien dat het aantal cyberaanvallen in het eerste kwartaal van 2023 licht gestegen is met twee procent, vergeleken met het vierde kwartaal van 2022. De verwachte seizoensdaling heeft niet plaatsgevonden: normaal gesproken zijn hackers op bepaalde momenten in het jaar actief om slachtoffers in de val te lokken. Opvallend is dat het aantal afgeweerde aanvallen op bedrijven gedaald is met meer dan acht procent, terwijl dit aantal bij individuele gebruikers juist toenam met 3,9 procent.

Een jaar-op-jaar-vergelijking laat zien dat de start van de oorlog in Oekraïne van grote invloed is geweest op het aantal aanvallen: in een jaar tijd is het aantal afgeweerde aanvallen op bedrijven met meer dan 50 procent gedaald (vergelijking tussen eerste kwartaal 2022 en eerste kwartaal 2023). Voor individuele gebruikers kwam de daling over dezelfde periode neer op slechts 6,7 procent.

Phishing: nieuwe bijlages als hackmethode

Aanvallers vinden ook voortdurend nieuwe mogelijkheden wanneer het om phishing gaat. In het afgelopen kwartaal was dit het geval met OneNote- of PUB-bestanden. Een kwetsbaarheid van Microsoft maakt het mogelijk om securitymaatregelen voor macro-beleid in Office te overschrijven in Microsoft Publisher. Hiermee worden blokkeermaatregelen voor onbetrouwbare of kwaadaardige bestanden opgeheven. Aanvallers maken misbruik van deze mogelijkheid om het systeem aan te vallen.

“Microsoft heeft deze kwetsbaarheid al afgedicht,” zegt Eddy Willems. “Toch lopen gebruikers die updates niet automatisch laten uitvoeren nog steeds risico. Het is zaak om direct te handelen en de update handmatig uit te voeren.”
Ook nieuw is de inzet van OneNote-bestanden als aanvalsvector, ter vervanging van de Office-macro’s waar Microsoft maatregelen tegen heeft genomen. De uitvoer van deze macro’s in bijvoorbeeld Word-documenten en Excel-spreadsheets is door Microsoft standaard uitgezet, zodat macro’s niet langer automatisch worden uitgevoerd. Dit heeft ertoe geleid dat de malware nu als notitie in OneNote opduikt. Slachtoffers ontvangen een e-mail met een OneNote-document als bijlage. Wanneer ze deze bijlage openen, wordt ze gevraagd om een read-only bestand te openen met een dubbelklik. Iedereen die dit doet, zorgt ervoor dat de embedded software wordt uitgevoerd en installeert hiermee malware die screenshots kan nemen of andere informatie weg kan sluizen. Hiermee proberen aanvallers persoonlijke inloggegevens te achterhalen.
Het dreigingsrapport van G DATA CyberDefense laat zien dat cybercriminelen flexibel zijn in het compromitteren van potentiële slachtoffers. Voor bedrijven betekent dit dat IT-security altijd een prioriteit moet zijn. Deze achtergrond verklaart waarom steeds meer bedrijven de inzet van managed security-oplossingen overwegen. De beveiliging van het netwerk is niet een op zichzelf staand project, maar een voortdurend proces.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW