Microsoft plakt actief uitgebuit zero-day lek in Windows pas volgende week dicht

Een door Google geopenbaard zero-day lek in de Windows kernel, dat al langer actief uitgebuit wordt door internet criminelen, wordt door Microsoft pas volgende week dichtgeplakt. Het lek is in combinatie met een kwetsbaarheid in Flash te misbruiken.

Vorige week bracht Adobe al een noodupdate uit voor het lek in Flash, nadat het door Google was ingelicht. Microsoft werd ook op de hoogte gebracht, maar had na zeven dagen nog geen update beschikbaar voor de kwetsbaarheid in Windows, waarna Google besloot het lek openbaar te maken. Dit is een standaardprocedure bij Google, dat na een week zero-day lekken openbaart - ook al is er nog geen pleister voor.

Google meldt hierover:
On Friday, October 21st, we reported 0-day vulnerabilities — previously publicly-unknown vulnerabilities — to Adobe and Microsoft. Adobe updated Flash on October 26th to address CVE-2016-7855; this update is available via Adobe's updater and Chrome auto-update. After 7 days, per our published policy for actively exploited critical vulnerabilities, we are today disclosing the existence of a remaining critical vulnerability in Windows for which no advisory or fix has yet been released. This vulnerability is particularly serious because we know it is being actively exploited.

Microsoft is teleurgesteld in Googles besluit:
Google’s decision to disclose these vulnerabilities before patches are broadly available and tested is disappointing, and puts customers at increased risk.

Het lek is aanwezig in alle Windows-versies en zorgt ervoor dat in combinatie met het Flash-lek de sandbox-bescherming in de browser niet werkt, waarna een backdoor geïnstalleerd kan worden bij het bezoeken van schadelijke websites. 

Hoe bescherm je je tegen deze aanval?

Aangezien de aanval op Windows in combinatie met een lek in Flash werkt, moet je controleren of je de laatste versie van Flash hebt: in 23.0.0.205 is de kwetsbaarheid voor Adobes plugin verholpen.

- Op deze pagina kun je controleren welke Flash-versie je browser gebruikt
(let op dat je dit voor Internet Explorer, Firefox en Opera afzonderlijk moet controleren aangezien ze allemaal een andere Flash-plugin gebruiken, die apart bijgewerkt moet worden!)

Of:

- Ga in Windows naar Configuratiescherm | Systeem en beveiliging | Flash Player (onderaan) - tabblad Updates
(in Windows 10 klik je rechts op het Startmenu om bij het Configuratiescherm te komen)

Het is handig om automatische updates voor Flash aan te zetten. Als je nog niet de laatste versie hebt kun je het beste even handmatig updaten voor al je browsers (Internet Explorer/ActiveX, Firefox/NPAPI, Opera/PPAPI). Chrome en Edge hebben een ingebouwde Flash-plugin die bijgewerkt is als je browsers ook up-to-date zijn.

Hierdoor zou je tegen deze specifieke aanval beschermd moeten zijn. Verder is het wachten tot Microsoft volgende week dinsdag met een update voor dit zero-day lek komt zodat alle kwetsbaarheden voor deze aanval dichtgeplakt zijn.