malware3Besmette e-mailbijlagen en beveiligingslekken in Adobe Flash Player zijn twee voorname manieren waarop ransomware zich weet te verspreiden, maar onderzoekers hebben nu een nieuwe ransomware-variant ontdekt die ook een oudere kwetsbaarheid in de Windowskernel gebruikt.

Het gaat om een downloader die een variant van de Locky-ransomware op computers installeert. De downloader maakt als eerste gebruik van een recent gepatcht beveiligingslek in Adobe Flash Player. Vervolgens wordt er een kwetsbaarheid in de Windowskernel gebruikt waarmee een aanvaller zijn rechten op het systeem kan verhogen.

Dit beveiligingslek in Windows Server 2003 tot en met Windows 8.1 werd op 12 mei 2015 door Microsoft gepatcht. De downloader gebruikt deze kwetsbaarheid waarschijnlijk om sandboxtechnologie te omzeilen en detectie en analyse te bemoeilijken, zo meldt het Japanse anti-virusbedrijf Trend Micro.

Pas als de kwetsbaarheid in de Windowskernel aanwezig is wordt uiteindelijk de  op de computer ge├»nstalleerd, die bestanden voor losgeld versleutelt. Hoewel het in dit geval om een ouder lek in de Windowskernel gaat, zijn er aanwijzingen in de code gevonden die erop duiden dat mogelijk andere kernellekken in nieuwere Windowsversies zullen worden gebruikt. "Relatief weinig mensen besteden aandacht aan kernel-aanvallen, of gedrag dat hierdoor wordt veroorzaakt. Dat is mogelijk een reden dat de downloader deze techniek gebruikt", zegt analist Hugo Cao.

Bron: Security.nl