Microsoft sluit zero-day-exploits die worden gebruikt in overheidsspionagekits af

Microsoft heeft onthuld dat een reeks recente beveiligingspatches is ontworpen om twee zero-day exploits worden verkocht als onderdeel van een spionagepakket aan autoritaire regeringen en spionagebureaus wereldwijd.

De spionagekit, die naar verluidt is verkocht door de Israëlische veiligheidsorganisatie Candiru, is gebruikt om doelwitten op te richten politici, journalisten, mensenrechtenwerkers, academici, dissidenten en meer, met minstens 100 slachtoffers. Terwijl 100 een relatief laag cijfer is voor andere grote beveiligingsinbreuken of -aanvallen, is de spionagekit een zeer geavanceerd hulpmiddel dat wordt gebruikt om individuen aan te vallen.

Als zodanig zijn de slachtoffers van deze kit en de zero-day-exploits waarschijnlijk spraakmakende personen met waardevolle informatie over potentieel seismische onderwerpen.

Microsoft werkt samen met Citizen Lab om exploits te verwijderen

De officiële Microsoft-beveiligingsblog bevestigt de ontdekking van een "offensieve actor uit de particuliere sector" die in het bezit is van twee Windows zero-day exploits (

CVE-2021-31979 en CVE-2021-33771).

Microsoft noemde de dreigingsactor SOURGUM en merkte op dat het Microsoft Security-team gelooft dat het een Israëlisch bedrijf in de particuliere sector is dat cyberbeveiligingstools verkoopt aan overheidsinstanties over de hele wereld. In samenwerking met Citizen Lab, het laboratorium voor netwerkbewaking en mensenrechten van de Universiteit van Toronto, Microsoft is van mening dat de malware- en exploitkit die door SOURGUM wordt gebruikt "zich heeft gericht op meer dan 100 slachtoffers over de hele wereld". wereld."

Verwant: Malware begrijpen: de meest voorkomende typen die u moet kennen

Citizen Lab's rapport in de exploits noemt expliciet Candiru, "een geheimzinnig Israëlisch bedrijf dat spyware exclusief verkoopt aan" regeringen." De door Candiru ontwikkelde spyware "kan iPhones, Androids, Macs, pc's en cloudaccounts infecteren en controleren."

Het Microsoft Security-team observeerde slachtoffers in Palestina, Israël, Iran, Libanon, Jemen, Spanje, Verenigde Koninkrijk, Turkije, Armenië en Singapore, met veel slachtoffers die opereren in gevoelige gebieden, rollen of, organisaties. Gerapporteerde Candiru-klanten zijn onder meer Oezbekistan, Saoedi-Arabië en de VAE, Singapore en Qatar, met andere gerapporteerde verkopen in Europa, voormalige Sovjet-Unie-landen, de Perzische Golf, Azië en Latijns-Amerika.

Beveiligingspatches elimineren zero-day-exploits

Een zero-day exploit is een niet eerder uitgebracht beveiligingslek dat een aanvaller gebruikt om een ​​site, service of anderszins te doorbreken. Omdat de beveiligings- en technologiebedrijven zich niet bewust zijn van het bestaan ​​ervan, blijft het ongepatcht en kwetsbaar.

In dit geval gebruikte het Israëlische bedrijf dat naar verluidt achter de ontwikkeling van de spionagekit twee zero-day exploits om toegang te krijgen tot eerder beveiligde producten, ingebouwd in een unieke malwarevariant genaamd DuivelsTong.

Hoewel aanvallen van deze aard zorgwekkend zijn, zijn het vaak zeer gerichte operaties die normaal gesproken geen gevolgen hebben voor gewone gebruikers. Bovendien heeft Microsoft nu de zero-day exploits gepatcht die door de DevilsTongue-malware worden gebruikt, waardoor deze specifieke variant onbruikbaar is geworden. De patches zijn uitgegeven in de Patch Tuesday van juli 2021, die op 6 juli live werd gepusht.

Microsoft vertelt gebruikers printerspooling uit te schakelen om te beschermen tegen zero-day-exploit

Er wordt actief gebruik gemaakt van de PrintNightmare zero-day.

Lees volgende

Over de auteur

Uitvouwen om het volledige verhaal te lezen