CVE-2024-21412: Böse Überraschung nach Datei-Download
14. Februar 2024Eine „6.8 Security Feature Bypass-Schwachstelle“ ist normalerweise nichts, was Administratoren schlaflose Nächte bereitet. Dennoch erleben wir mit der Sicherheitslücke mit dem kryptischen Namen CVE-2024-21412 eine Software-Schwachstelle, die bereits von einigen Bedrohungsakteuren aktiv ausgenutzt wird und in naher Zukunft mit großer Wahrscheinlichkeit von allen namhaften Cyber-Angreifern verwendet wird.
Die Lücke mit der Bezeichnung CVE-2024-21412 umgeht mit dem „SmartScreen“ ein Sicherheitsfeature aller neueren Windows-Installationen, welches von Microsoft erstmalig mit Windows 8 eingeführt wurde. Dieses Feature führte unter anderem ein „Mark of the Web (MotW)“-Flag ein, wenn eine Datei vom Internet heruntergeladen und ein potentiell gefährlicher Download angestoßen wird.
Die APT-Gruppe Water Hydra (auch bekannt als DarkCasino) erregte erstmals im Jahr 2021 Aufmerksamkeit, als sie eine Reihe von Kampagnen startete, die auf den Finanzsektor abzielten, indem sie Social Engineering in Finanzhandelsforen einsetzte, um Opfer zu ködern. Der Bedrohungsakteur verübte gezielte Angriffe auf Banken, Kryptowährungs-Plattformen, Devisen- und Aktienhandelsplattformen sowie Glücksspielseiten in aller Welt.
Bei der Ausnutzung der Lücke handelt es sich um einen echten „Zero Day“: Eine Lücke, die zuerst von Angreifern gefunden wurde und für die es bis zum Patch Tuesday keinen Schutz seitens des Herstellers gab. Sie betrifft alle Microsoft Windows Produkte, die dieses Feature nutzen. Einem Nutzer wird vorgegaukelt, er würde ein Bild aufrufen.
Um keinen Argwohn zu wecken, wird tatsächlich auch eines angezeigt. Im Hintergrund erfolgt jedoch der Download bösartigen Codes, mit dem der Rechner des Opfers infiziert wird. Trend Micro teilte die Beobachtung dem „Responsible Disclosure“ Codex entsprechend dem Hersteller mit, der daraufhin den gestrigen Patch entwickelte.
Im Rahmen der laufenden Bedrohungsjagd entdeckte Trend Micro, dass eine zweite Gruppe die Schwachstelle ausnutzt. Dies zeigt, dass es in vielen Fällen schwierig sein kann, festzustellen, wie weit verbreitet eine Zero-Day-Schwachstelle von Bedrohungsakteuren genutzt wird, da sie dem Anbieter und der breiten Öffentlichkeit unbekannt ist.
„Die Lücke ist einfach zu verwenden und wird deshalb in das Tool-Set von Cyber-Angreifern integriert werden“, betont Richard Werner. Der Business Consultant bei Trend Microfügt hinzu, dass die Lücke die grundsätzliche Herausforderung für Unternehmen demonstriere: „Die Anzahl der Softwareschwachstellen ist in den letzten Jahren dramatisch angestiegen. Das BSI spricht von 400 Stück pro Tag im Jahr 2023. Cyber-Angreifer wissen, dass Unternehmen nicht alles patchen. Sie verwenden deshalb eine Auswahl verschiedenster Lücken, die über kurz oder lang zum Erfolg führen wird. Damit ändert sich auch die Seite der Verteidigung. Nach unserer Risikoanalyse-Statistiken sind in einem durchschnittlichen Unternehmen etwa 11 Prozent der Systeme in kritischem Sicherheitszustand, sprich es fehlen unter anderem Patches für Sicherheitslücken, die Cyber-Angreifer aktiv ausnutzen.“
Oft liege es laut Werner nicht daran, dass Menschen bewusst Fehler machen, sondern dass die geschaffenen Bedingungen es nicht anders erlauben.“ Hier gilt es, wie u.a. die Europäische Union in der NIS-2-Direktive fordert, Cyber-Risiko Management zu betreiben. Sind die Lücken nicht vermeidbar, dann müssen sie mindestens überwacht und jegliche Anomalien sofort untersucht werden“, empfiehlt Werner. (rhh)