Sårbarhet i Microsoft Windows utnyttes aktivt av APT-gruppen STRONTIUM

Publisert: 02.11.2016 | Sist endret: 11.01.2017

Microsoft sikter på å offentliggjøre en sikkerhetsoppdatering tirsdag den 8. november.

Microsoft har publisert en bloggpost [1] om sårbarheten om gjør det mulig for en bruker å oppnå høyere privilegier på Windows-systemer [2]. De skriver i korte trekk at alle brukere UNNTATT som de som benytter Microsoft Edge på Windows 10 Anniversary Update er berørt av sårbarheten. Microsoft sikter på å offentliggjøre en sikkerhetsoppdatering tirsdag den 8. november.

Microsoft forteller videre at sårbarheten utnyttes aktivt av APT-gruppen STRONTIUM. Denne gruppen omtales ofte som SOFACY, APT28, FANCY BEAR og fler [3]. Typisk operasjonsmønster for gruppen er å bruke kompromitterte e-postkontoer til å sende e-poster med ondsinnede vedlegg til utvalgte mottakere. Gruppen kan holde på slik i flere måneder før de til slutt lykkes i å oppnå tilgang til mottakerens system.

Etter kompromitteringen vil gruppen søke etter å kartlegge virksomhetens interne nettverk og etablere kommando- og kontrollkanaler for å sikre permanent aksess til fremtidig aktivitet.

Microsoft anbefaler skadereduserende tiltak:

  • Windows Defender Advanced Threat Protection for å detektere evt. utnyttelse.

Det er tre forutsetninger som må være tilstede for at angrepet skal lykkes:

  • Utnyttelse av Adobe Flash sårbarhet
  • Oppnåelse av høyere privilegier på Windows-systemet
  • Installering av en bakdør for å få tilgang til offerets datamaskin

NorCERT følger opp saken fortløpende.

Berørte systemer

  • Microsoft Windows Vista opp til Microsoft Windows 10 November Oppdatering 

CVE-referanser

  • CVE-2016-7855

Eksterne kilder:

  1. https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/
  2. https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html
  3. http://download.microsoft.com/download/4/4/C/44CDEF0E-7924-4787-A56A-16261691ACE3/Microsoft_Security_Intelligence_Report_Volume_19_A_Profile_Of_A_Persistent_Adversary_English.pdf