Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch

Diese Cyber-Angriffsmethode erlaubt Umgehung traditioneller Sicherheitsvorkehrungen

[datensicherheit.de, 11.09.2024] Swachchhanda Shrawan Poudel, „Security Research Engineer“ bei LOGPOINT, geht in seiner aktuellen Stellungnahme auf die sich in der gegenwärtigen Bedrohungslandschaft abzeichnenden neuen Gefahr für die IT-Sicherheit ein: „Cyber-Kriminelle greifen zunehmend auf die weit verbreitete, aber oft übersehene Funktion der ,geplanten Aufgaben’ in ,Windows’ zurück, um unbemerkt schädliche Aktivitäten durchzuführen.“ Diese Angriffsmethode erlaube es ihnen, traditionelle Sicherheitsvorkehrungen wie Antivirus-Programme zu umgehen – „indem sie Schadsoftware als legitime Systemprozesse tarnen“.

Foto: LOGPOINT

Swachchhanda Shrawan Poudel rät Unternehmen, dringend ihre Cyber-Sicherheitsvorkehrungen zu verstärken

Wie Cyber-Angreifer die geplante Aufgaben missbrauchen

Sogenannte geplante Aufgaben sind demnach automatisierte Prozesse in „Windows“-Systemen, welche bestimmte Aktionen zu festgelegten Zeitpunkten oder bei definierten Bedingungen ausführen sollen. Poudel erläutert: „Sie werden vorwiegend für administrative Aufgaben wie Systemaktualisierungen, Backups und ähnliche Routinevorgänge eingesetzt. Gesteuert werden diese durch den ,Windows Task-Scheduler’, der kontinuierlich die definierten Bedingungen überwacht und die Aufgaben entsprechend startet.“

Cyber-Kriminelle setzten schädliche „Payloads“ über den „Task-Scheduler“ ein, indem sie entweder neue Aufgaben anlegten oder bestehende modifizierten. „Besonders perfide ist, dass diese schädlichen Aufgaben als legitime Systemprozesse getarnt sind und häufig administrative Rechte benötigen“, so Poudel. Auf diese Weise könne die Malware bei jedem Systemneustart wieder aktiviert werden – „ohne dass Sicherheitsmaßnahmen wie Antivirus-Programme Alarm schlagen!“.

Diese Angriffstechnik werde vermehrt bei Unternehmen und staatlichen Institutionen beobachtet. Ziel der Angreifer sei es, sensible Daten zu stehlen oder den Geschäftsbetrieb zu stören. Die Methoden reichten von der einfachen Modifikation bestehender Aufgaben bis hin zur Ausführung komplexer Skripte, „die schädliche Software implementieren und bei Bedarf laufend aktualisieren“.

Geplante Aufgaben stellen erhebliches Cyber-Sicherheitsrisiko – empfohlene Schutzmaßnahmen von LOGPOINT

IT-Abteilungen sollten dringend regelmäßige Audits aller „geplanten Aufgaben“ durchführen. Poudel betont: „Dabei ist sicherzustellen, dass nur vertrauenswürdige Anwendungen und Benutzer Berechtigungen zur Erstellung solcher Aufgaben haben!“ Insbesondere sollten administrative Rechte beschränkt und streng überwacht werden.

LOGPOINT empfiehlt zudem nach eigenen Angaben den Einsatz von SIEM-Lösungen (Security Information and Event Management), um verdächtige Veränderungen an geplanten Aufgaben frühzeitig zu erkennen und Angriffe rechtzeitig abzuwehren.

Geplante Aufgaben stellten ein erhebliches Sicherheitsrisiko dar, welches von Cyber-Kriminellen zunehmend ausgenutzt werde. Eine frühzeitige Erkennung und Abwehr solcher Angriffe sei entscheidend, um potenziellen Schaden zu minimieren. „Unternehmen sind dringend angehalten, ihre Sicherheitsvorkehrungen in diesem Bereich zu verstärken und regelmäßige Überprüfungen der Systemprozesse vorzunehmen, um Cyber-Angriffe effektiv abzuwehren“, so Poudels Fazit.

Weitere Informationen zum Thema:

LOGPOINT, Swachchhanda Shrawan Poudel, 26.08.2024
Shenanigans of Scheduled Tasks