Pas op: Windows heeft twee zwaktes waarvan een ook wordt misbruikt

In dit artikel:

Onderzoekers van Trend Micro hebben twee kwetsbaarheden in Windows ontdekt; eentje wordt al actief en intensief misbruikt om systemen te besmetten. Volgens de onderzoekers is het lek mogelijk al sinds 2017 in gebruik en Microsoft is er al zeven maanden van op de hoogte zonder dat er een definitieve patch is verschenen.

Het belangrijkste probleem zit in het Windows-shortcut (.lnk)‑format: kwaadwillenden kunnen via die zwakte payloads installeren, waaronder de PlugX‑trojan die door de Chinese hackersgroep UNC‑6384 gebruikt zou zijn bij aanvallen op meerdere Europese landen. De aanvallen hebben zich in korte tijd over tientallen landen verspreid (meer dan 60 genoemd), wat duidt op ofwel een grootschalige, gecoördineerde inlichtingenoperatie, of meerdere teams die hetzelfde gereedschap gebruiken met gecentraliseerde ontwikkeling.

Als tussenoplossing wordt aanbevolen .lnk‑functies van onbekende bronnen uit te schakelen door in Windows Explorer de automatische resolutie van shortcuts uit te zetten. Microsoft bracht vorige week wel een update uit voor de andere kwetsbaarheid (in Windows Server Update Services), maar die blijkt onvoldoende; ook die fout wordt al misbruikt, vooral tegen beheersoftware, waardoor de meeste individuele gebruikers minder snel direct getroffen worden. Het blijft onduidelijk wanneer er een volledige correctie voor de .lnk‑kwetsbaarheid komt.