Kritische Schwachstelle im Windows-Betriebssystem
16. April 2019Eine weitere Schwachstelle wurde in Microsoft Windows entdeckt. Dabei nutze eine Gruppe diese Lücke effektiv aus, und war in der Lage die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen haben es auf den Kernel des Betriebssystems abgesehen, und eine Backdoor eingesetzt, um das System zu kompromittieren.
Um die Kontrolle über ein System zu erlangen, nutzen viele Angreifer Methoden, um sich selbst (beziehungsweise einem bestimmten Benutzerkonto) Administrator-Berechtigungen zu verschaffen. Eine derartige Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen. Ein Backdoor-Angriff dagegen kann leichter verschleiert werden, etwa wenn die Angreifer bisher unbekannte Sicherheitslücken im System nutzen (Zero-Day-Exploit). Das Wissen über derartige Schwachstellen und deren gezielte Ausnutzung wird im Deep- und Darkweb gewerbsmäßig verbreitet. So können für funktionierende Zero-Day-Exploits, die bisher vor den betroffenen Softwareherstellern nicht gepatcht wurden hohe Beträge verlangt werden.
Zero-Day-Exploit: Infektionsablauf
Nach dem Start einer schädlichen Exe-Datei beginnt die Installation der Malware. Dabei wird eine Zero-Day-Schwachstelle ausgenutzt und die Angreifer erlangen auf diese Weise entsprechende Benutzer-Privilegien. Die Malware nutzt daraufhin die Hintertür im Scripting-Framework der Windows PowerShell aus. So können die Angreifer unentdeckt agieren und die Zeit nutzen Codes für weitere bösartige Tools einzuschleusen. Etwa laden die Hacker Listings von einem Text-Storage-Service herunter, um weitere Sicherheitslücken auszunutzen. Mit diesem letzten Schadcode-Angriff erlangen die Cyberkriminellen dann die vollständige Kontrolle über das infizierte System.
„Bei diesem Angriff sehen wir zwei Trends, die wir häufig bei Advanced Persistent Threats (APTs) sehen“, erklärt Anton Ivanov, Sicherheitsexperte bei Kaspersky Lab. „Erstens, die Verwendung lokaler Exploits zur Privilegien-Erweiterung, um auf dem Computer des Opfers zu bleiben. Zweitens die Verwendung legitimer Frameworks wie Windows PowerShell für bösartige Zwecke auf dem Computer des Opfers. Diese Kombination gibt den Bedrohungsakteuren die Möglichkeit, Standard-Sicherheitslösungen zu umgehen. Um solche Techniken erfolgreich zu erkennen, muss eine Sicherheitslösung Exploit-Prevention- und Verhaltenserkennungstechnologien verwenden.“
Kaspersky-Sicherheitsempfehlungen
Um die Installation von Backdoors aufgrund von Zero-Day-Schwachstellen von Windows zu verhindern, empfiehlt Kaspersky Lab die folgenden Sicherheitsmaßnahmen:
- Verfügbare Patches von Microsoft für die neue Schwachstelle sowie für sämtliche verwendete Software umgehend installieren.
- Erweiterte Sicherheitsprodukte mit Schwachstellenanalyse und Patch-Management-Funktion können solche Prozesse automatisieren.
- Eine umfassende Sicherheitslösung mit verhaltensbasierten
- Erkennungsfunktionen wie Kaspersky Endpoint Security for Business verwenden, um auch vor unbekannten Bedrohungen sicher zu sein.
- Das Sicherheitsteam sollte stets Zugriff auf die neuesten Cyberbedrohungsinformationen haben. Den Kunden von Kaspersky Intelligence Reporting stehen private Berichte über die neuesten Entwicklungen in der Bedrohungslandschaft zur Verfügung.
- Mitarbeiter in den Grundlagen der Cybersecurity-Hygiene schulen.
Die Schwachstelle wurde an Microsoft gemeldet und beseitigt. Kaspersky-Produkte erkannten den Exploit als:
- HEUR: Exploit.Win32.Generic
- HEUR: Trojan.Win32.Generic
- PDM: Exploit.Win32.Generic
Weitere Informationen zum neuen Exploit sind hier verfügbar. Darüber hinaus sind Details zu den Kaspersky-Erkennungs-Tools und dem Exploit im aufgezeichneten Webinar zu finden
Kaspersky / FAH