[datensicherheit.de, 18.05.2024] Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben nach eigenen Angaben eine neue Zero-Day-Schwachstelle in „Windows“ mit der Bezeichnung „CVE-2024-30051“ gefunden. Diese Entdeckung wurde demnach im Zuge der Untersuchung der „Windows DWM Core Library Elevation of Privilege“-Schwachstelle („CVE-2023-36033“) Anfang April 2024 gemacht. Ein Patch sei am 14. Mai 2024 im Rahmen des „May Patch Tuesday“ von Microsoft veröffentlicht worden.

Auf VirusTotal aufgetaucht: Hinweis auf potenzielle Windows-Sicherheitslücke

„Am 1. April 2024 erregte ein auf ,VirusTotal’ hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im ,Windows’-Betriebssystem hin.“ Trotz gebrochenen Englischs und der fehlenden Details (wie die Schwachstelle ausgelöst werden kann), habe das Dokument einen Exploit-Prozess beschrieben, der jenem vom Zero-Day-Exploit für „CVE-2023-36033“ geglichen habe, obwohl sich diese Schwachstellen voneinander unterschieden.

Das Team habe vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem habe es seine Untersuchung fortgesetzt. „Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.“

Kaspersky habe seine Erkenntnisse umgehend an Microsoft gemeldet – anschließend sei die Schwachstelle verifiziert und als „CVE-2024-30051“ bezeichnet worden.

Global Research & Analysis Team untersuchte Zero-Day-Schwachstelle in Windows

Nach dieser Meldung hätten die Kaspersky-Experten begonnen, „die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen“. Mitte April 2024 habe das Team einen Exploit für „CVE-2024-30051“ entdeckt und seine Verwendung in Verbindung mit „QakBot“ sowie anderer Malware beobachtet. Dies deute darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit hätten.

„Wir fanden das Dokument auf ,VirusTotal’ aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, berichtet Boris Larin, „Principal Security Researcher“ im „Global Research & Analysis Team“ (GReAT) bei Kaspersky.

Er kommentiert: „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cyber-Sicherheit betrifft.“

Nutzer sollten nun ihre Windows-Systeme aktualisieren

Kaspersky plane, technische Details zu „CVE-2024-30051“ zu veröffentlichen, „sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre ,Windows’-Systeme aktualisieren konnten“. Kaspersky habe sich bei Microsoft für die „prompte Analyse und Veröffentlichung von Patches“ bedankt.

Die Kaspersky-Produkte seien aktualisiert worden, um die Ausnutzung von „CVE-2024-30051“ und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:

• „PDM:Exploit.Win32.Generic“
• „PDM:Trojan.Win32.Generic“
• „UDS:DangerousObject.Multi.Generic“
• „Trojan.Win32.Agent.gen“
• „Trojan.Win32.CobaltStrike.gen“

Kaspersky verfolge den fortschrittlichen Banking-Trojaner „QakBot“ seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, habe sich „QakBot“ erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Diese Malware sei für ihre häufigen Updates und Verbesserungen bekannt – dies mache sie zu einer ständigen Bedrohung in der Cyber-Sicherheitslandschaft. In den vergangenen Jahren sei beobachtet worden, dass „QakBot“ andere Botnets, wie beispielsweise „Emotet“, für die Verbreitung nutze.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 14.05.2024
QakBot attacks with Windows zero-day (CVE-2024-30051)

NIST, 25.04.2024
National Vulnerability Database: CVE-2024-30551 Detail

NIST, 25.04.2024
National Vulnerability Database: CVE-2023-36033 Detail

MICROSOFT, 14.04.2024
Windows DWM Core Library Elevation of Privilege Vulnerability / CVE-2024-30051 / Security Vulnerability

Avast bringt Schwachstelle mit Candiru in Verbindung

[datensicherheit.de, 25.07.2022] Am 22. Juli 2022 wurden mehrere Meldungen veröffentlicht, wonach eine sogenannte Zero-Day-Schwachstelle in „Google Chrome“ (und möglicherweise auch „Edge“ und „Safari“), ausgenutzt werden kann – und konkret auch wurde, um Journalisten im Nahen Osten anzugreifen. Das Sicherheitsunternehmen Avast habe diese Schwachstelle mit „Candiru“ in Verbindung gebracht. „Candiru“ habe in der Vergangenheit bereits zuvor unbekannte Schwachstellen ausgenutzt, um eine „Windows“-Malware namens „DevilsTongue“ zu installieren.

Schwachstelle über verschlüsselten Kanal gezielt an Rechner des Opfers übertragen

Mithilfe einer „Watering Hole“-Technik werde ein Profil des Browsers des Opfers erstellt, welches unter anderem Details wie Sprache, Zeitzone, Bildschirminformationen, Gerätetyp, Browser-Plugins, Referrer und Gerätespeicher enthalte.
Avast habe festgestellt, dass diese Informationen gesammelt worden seien, „um sicherzustellen, dass der ,Exploit‘ nur an die beabsichtigten Ziele übermittelt wird“.
Sollten die gesammelten Daten von den Hackern als wertvoll erachtet werden, werde der „Zero-Day Exploit“ über einen verschlüsselten Kanal an den Rechner des Opfers übertragen.

Entdeckte Schwachstellen definitiv ernstzunehmen

James Sebree, „Senior Staff Research Engineer“ bei Tenable, geht in seinem aktuellen Kommentar auf diese neuen Schwachstellen ein:
„Die hier entdeckten Schwachstellen sind definitiv ernstzunehmen, vor allem, weil sie so weitreichend sind, was die Anzahl der betroffenen Produkte angeht.“ Betroffen seien die meisten modernen Desktop-Browser, mobile Browser und alle anderen Produkte, „die anfällige WebRTC-Komponenten verwenden“.
Sebree warnt: „Bei erfolgreicher Ausnutzung könnte ein Angreifer seinen eigenen Schadcode auf dem Computer eines bestimmten Opfers ausführen und Malware installieren, das Opfer ausspionieren, Informationen stehlen oder eine beliebige andere kriminelle Aktion ausführen.“

Angriffe auf Basis dieser Schwachstelle offensichtlich sehr gezielt

Es sei jedoch „unwahrscheinlich, dass wir allgemeine oder öffentliche ,Exploits‘ für diese Schwachstelle sehen werden“.
Bei der Hauptschwachstelle „CVE-2022-2294“ handele es sich um einen „Heap Overflow“, welcher aufgrund der Sicherheitsfunktionen der meisten modernen Betriebssysteme in der Regel nur schwer ausgenutzt werden könne.
Alle Angriffe, welche diese Schwachstelle ausnutzen, seien offensichtlich sehr gezielt. Sebrees Fazit: „Es ist zwar unwahrscheinlich, dass es zu allgemeinen Angriffen kommt, die diese Schwachstelle ausnutzen, aber die Wahrscheinlichkeit ist nicht gleich null, und Unternehmen müssen entsprechende Patches bereitstellen.“

Weitere Informationen zum Thema:

ars TECHNICA, Dan Goodin, 21.07.2022
CANDIRU — 0-day used to infect Chrome users could pose threat to Edge and Safari users, too / After lying low, exploit seller Candiru rears its ugly head once more

DECODED avast.io, Jan Vojtěšek, 21.07.2022
The Return of Candiru: Zero-days in the Middle East

[datensicherheit.de, 13.10.2021] Kaspersky-Experten haben nach eigenen Angaben einen neuen „Zero Day Exploit“ entdeckt: „MysterySnail“ sei im Rahmen der Analyse einer Reihe von Angriffen zur Erhöhung von Berechtigungen auf „Microsoft Windows“-Servern identifiziert worden – zuvor hätten die automatisierten Erkennungstechnologien diese Angriffe erfasst.

Kaspersky entdeckte Angriffe, welche Exploit zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern verwenden

In der ersten Jahreshälfte 2021 haben Kaspersky-Experten demnach eine Zunahme von „Zero Day“-Angriffen beobachtet. Dabei seien unbekannte Software-Fehler ausgenutzt worden, „die bereits von Angreifern entdeckt wurden, von denen aber der Anbieter noch keine Kenntnis hat“. Dementsprechend stehe kein Patch zur Verfügung und die Wahrscheinlichkeit eines erfolgreichen Angriffs steige.
Die Technologien von Kaspersky hätten eine Reihe von Angriffen erkannt, welche einen „Exploit“ zur Erhöhung von Berechtigungen auf „Microsoft Windows“-Servern verwendet hätten. „Dieser Exploit hatte viele Debug-Strings von einem älteren, öffentlich bekannten Exploit für die Schwachstelle CVE-2016-3309, eine genauere Analyse ergab jedoch, dass es sich um einen neuen Zero Day handelt. Kaspersky-Forscher tauften diesen Aktivitäten-Cluster ,MysterySnail‘.“

Kaspersky-Experten bringen aktuelle Angriffe mit der berüchtigten IronHusky-Gruppe in Verbindung

Aufgrund der entdeckten Code-Ähnlichkeit und der Wiederverwendung der C&C-Infrastruktur (Command-and-Control) brächten die Kaspersky-Experten diese Angriffe mit der berüchtigten „IronHusky“-Gruppe und chinesischsprachigen APT-Aktivitäten aus dem Jahr 2012 in Verbindung.
Bei der Analyse der beim „Zero Day“-Exploit verwendeten Malware-Payload habe Kaspersky herausgefunden, dass Varianten dieser Malware in weit verbreiteten Spionagekampagnen gegen IT-Firmen, Militär- und Verteidigungsunternehmen sowie diplomatische Einrichtungen eingesetzt worden seien. Diese Sicherheitslücke sei Microsoft gemeldet und am 12. Oktober 2021 im Rahmen des Oktober-„Patch Tuesday“ gepatcht worden.

Kaspersky-Hinweis: Bisher unbekannte Schwachstellen der Anbieter potenziell ernsthafte Bedrohung für Unternehmen

„Wir beobachten in den letzten Jahren ein anhaltendes Interesse seitens der Angreifer, neue ,Zero Days‘ zu finden und auszunutzen. Bisher unbekannte Schwachstellen der Anbieter können eine ernsthafte Bedrohung für Unternehmen darstellen. Die meisten von ihnen teilen jedoch ähnliche Verhaltensweisen, so dass es wichtig ist, sich auf die neuesten Bedrohungsinformationen zu verlassen und Sicherheitslösungen zu installieren, die proaktiv unbekannte Bedrohungen entdecken“, erläutert Boris Larin, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Kaspersky-Empfehlungen zum Schutz vor „MysterySnail“:

• Das „Microsoft Windows“-Betriebssystem und andere Software von Drittanbietern umgehend aktualisieren.
• Eine zuverlässige „Endpoint“-Sicherheitslösung wie z.B. „Kaspersky Endpoint Security for Business“ verwenden, auf Exploit-Prävention, Verhaltenserkennung und einer Korrektur-Engine basierend, um schädliche Aktionen rückgängig zu machen.
• Anti-APT- und EDR-Lösungen implementieren, welche Funktionen zur Bedrohungserkennung, -untersuchung und rechtzeitigen Behebung von Vorfällen ermöglichen.
• Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben und regelmäßig geschult werden.
• Dedizierte Services wie z.B. „Kaspersky Managed Detection and Response“ könnten dabei helfen, Angriffe frühzeitig zu erkennen und zu stoppen.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Boris Larin & Costin Raiu, 12.10.2021
MysterySnail attacks with Windows zero-day

Kaspersky auf YouTube, 01.09.2021
#Kaspersky #GReAT #APTs / What Advanced Threat Actors Got Up to in Q2 2021

GitHub
siberas / CVE-2016-3309_Reloaded

SECURELIST by Kaspersky, GreAT, 12.04.2018
APT Trends report Q1 2018

Windows Elevation of Privilege-Schwachstelle (CVE-2021-36934) – auch als HiveNightmare oder SeriousSAM bezeichnet

[datensicherheit.de, 22.07.2021] Tenable warnt nach eigenen Angaben vor einer Zero-Day-Schwachstelle, welche in mehreren Versionen von „Windows 10“ identifiziert worden sei. Darüber sei es möglich, dass ein eigentlich nicht-privilegierter bzw. nicht-autorisierter Benutzer die Registry lesen und sein Berechtigungslevel erhöhen könne, um auf sensible Informationen zuzugreifen. Microsoft hat demnach einen Out-of-Band-Informationshinweis über diese Schwachstelle, aber noch keine Patches veröffentlicht.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Bestimmte Versionen von Windows 10 betroffen

VSS-Schattenkopie automatisch angelegt, wenn Systemlaufwerk größer 128 GB ist und Windows-Update oder MSI-Datei installiert wird

„Die ,Windows Elevation of Privilege‘-Schwachstelle (CVE-2021-36934), die von IT-Sicherheitsforschern als ,HiveNightmare‘ oder ,SeriousSAM‘ bezeichnet wird, ist ein Zero-Day, der bestimmte Versionen von ,Windows 10‘ betrifft“, erläutert Satnam Narang, „Staff Research Engineer“ bei Tenable, in seinem Kommentar zu dieser akuten IT-Sicherheitslücke.
Diese ermögliche es nicht-autorisierten Benutzern, „sensible Dateien zu lesen, die normalerweise nur für Administratoren zugänglich sind“. Um die Schwachstelle auszunutzen, müsse der „Volume Shadow Copy Service“ (VSS) verfügbar sein. Die Sicherheitsexperten hätten darauf hingewiesen, dass die VSS-Schattenkopie automatisch angelegt werde, „wenn das Systemlaufwerk größer als 128 Gigabyte ist und ein ,Windows‘-Update oder eine MSI-Datei installiert wurde“.

Windows-10-Sicherheitslücke: Schadensbegrenzung vorerst auf Änderung von Zugriffskontrolllisten beschränkt

Nutzer könnten überprüfen, „ob die VSS-Schattenkopien existieren oder nicht“, indem sie einen bestimmten Befehl auf ihren Systemen ausführten. Eine erfolgreiche Ausnutzung dieses Fehlers würde einem lokalen Angreifer die Möglichkeit geben, seine Privilegien zu erhöhen, Passwörter und Schlüssel zu sammeln sowie Zugriff auf ein Account zu erhalten, um einen „Silver Ticket“-Angriff durchzuführen.
Microsoft habe einen Out-of-Band-Informationshinweis zu dieser Sicherheitslücke veröffentlicht – aber noch keine Patches. Narang fasst abschließende zusammen: „Zum jetzigen Zeitpunkt beschränkt sich die Schadensbegrenzung auf die Änderung von Zugriffskontrolllisten, um Benutzer am Lesen bestimmter Dateien zu hindern, und auf das Entfernen von VSS-Schattenkopien vom System. Diese Abhilfemaßnahmen könnten aber bestimmte Funktionen des Systems beeinträchtigen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.04.2021
Tenable warnt vor weiterer Zero-Day-Schwachstelle in Google Chrome

Microsoft, 21.07.2021
Windows Elevation of Privilege Vulnerability / CVE-2021-36934

Forscher veröffentlichte PoC für One-Day-Schwachstelle in der von Google Chrome und Microsoft Edge (Chromium) verwendeten V8 JavaScript-Engine

[datensicherheit.de, 19.04.2021] Zum zweiten Mal innerhalb einer Woche sei ein Proof-of-Concept-Exploit (PoC Exploit) für eine Zero-Day-Schwachstelle in „Google Chrome“ veröffentlicht worden, meldet Tenable: „Anfang vergangener Woche veröffentlichte ein Forscher einen PoC für eine One-Day-Schwachstelle in der von ,Google Chrome‘ und ,Microsoft Edge (Chromium)‘ verwendeten ,V8 JavaScript‘-Engine.“ Hierzu habe sich Tenable bereits geäußert.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Beide öffentlich bekannt gemachten Schwachstellen für sich genommen nur von begrenztem Wert

Separate Sicherheitslücke erforderlich, um aus Chrome-Sandbox auszubrechen

„Was diese beiden öffentlich bekannt gemachten Schwachstellen ähnlich macht, ist, dass sie für sich genommen nur von begrenztem Wert sind. In diesem Fall ist eine separate Sicherheitslücke erforderlich, um aus der ,Chrome‘-Sandbox auszubrechen“, erläutert Satnam Narang, „Staff Research Engineer“ in seinem aktuellen Kommentar zum Bekanntwerden einer weiteren Schwachstelle in diesem Kontext.
Auch diese neueste Schwachstelle werde durch die Tatsache abgeschwächt, „dass sie nicht mit einer Schwachstelle gepaart ist, um der Sandbox zu entkommen“. Daher könne ein Angreifer das zugrundeliegende Betriebssystem nicht kompromittieren oder auf vertrauliche Informationen zugreifen, ohne diese Schwachstelle mit einer zweiten Schwachstelle zu kombinieren, um die Sandbox zu umgehen.

Browser wie Chrome und Edge so schnell wie möglich mit Patches versehen!

Sogenannte Zero-Days mögen die meiste Aufmerksamkeit auf sich ziehen – bekannte, aber ungepatchte Schwachstellen ermöglichten jedoch die meisten Sicherheitsverletzungen und würden von fortgeschrittenen Angreifern bevorzugt. Am 15. April 2021 habe die NSA (National Security Agency) gemeinsam mit dem FBI und der CISA (Cybersecurity and Infrastructure Security Agency) ein „Cybersecurity Advisory“ veröffentlicht, in dem eine Reihe von bekannten Schwachstellen aufgezeigt würden, „auf die angeblich russische Auslandsgeheimdienste zurückgreifen“.
Narang führt aus: „Trotz der begrenzten Auswirkungen der öffentlichen Bekanntgabe einer weiteren ,Google Chrome‘-Schwachstelle empfehlen wir Anwendern und Unternehmen weiterhin, ihre Browser wie ,Chrome‘ und ,Edge‘ so schnell wie möglich mit Patches zu versehen.“

Weitere Informationen zum Thema:

Tenable®
Blog

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe / Unternehmen können mittels eines mehrschichtigen und proaktiven Sicherheitsansatzes Risiken und Folgeschäden deutlich minimieren

Lokal installierte Versionen von Microsoft Exchange betroffen

[datensicherheit.de, 03.03.2021] Microsoft habe am Abend des 2. März 2021 Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in „Microsoft Exchange“ veröffentlicht. Diese Lücken würden derzeit von staatlichen Akteuren aktiv ausgenutzt.

Foto: G DATA

Tim Berghoff: Überstunden für IT-Admins!

Bereitgestellte Updates für Microsoft Exchange unverzüglich installieren!

G DATA warnt aktuell: Vier Zero-Day-Sicherheitslücken in lokal installierten Versionen von „Microsoft Exchange“ ermöglichten sowohl eine Authentisierung ohne Nutzerdaten, das Schreiben und Ausführen von beliebigem Code als auch die Ausleitung von Unternehmensdaten. Angreifer könnten sogar ganze Offline-Adressbücher und Mailboxen exfiltrieren.
Daher rate Microsoft, die bereitgestellten Updates unverzüglich zu installieren: Alle vier Zero-Day-Lücken hätten eine CVE zugewiesen bekommen (CVE-2021-26855,CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Betroffen seien lokale Installationen von „Microsoft Exchange“. Die Online-Versionen sind demnach von den Lücken „nach derzeitigen Erkenntnissen nicht betroffen“.

Gruppe „Hafnium“ nutzt Lücken in Microsoft Exchange derzeit aktiv

Es gebe eindeutige Anzeichen dafür, dass eine Gruppierung namens „Hafnium“ diese Lücken derzeit „aktiv nutzt“. Experten zufolge operiere diese Gruppe aus dem asiatischen Raum und im Auftrag einer Regierung.
„Auch wenn Unternehmen vermehrt Chat-Plattformen wie ,MS-Teams‘, ,Slack‘ oder andere nutzen, sind Mailserver nach wie vor das Herzstück vieler Unternehmen. Hier liegen extrem viele unternehmenskritische Daten“, erläutert Tim Berghoff, „Security Evangelist“ bei G DATA.
Notfall-Patches von Microsoft bedeuteten in der Regel vor allem eins: „Überstunden für IT-Admins“. Dass Angreifer die Sicherheitslücke bereits aktiv ausnutzten, zeige, wie wichtig zeitnahes Handeln in diesem Fall sei.

Angreifer geben sich als Microsoft Exchange-Server aus

Angreifer, welche die Lücken ausnutzen, gäben sich – vereinfacht gesagt – als „Exchange“-Server aus. Dadurch sei es möglich, die Zugänge zu kompromittieren, ohne selbst Kenntnis von Passwörtern zu haben. „Damit ist ein direkter Einblick in das Postfach des jeweiligen Nutzers möglich.“ Schon diese Sicherheitslücke allein wäre hochgradig kritisch.
Die übrigen Lücken würden unter anderem dafür genutzt, sogenannten Webshells auf dem Server einzurichten. Über diese könnten Angreifer dann jederzeit von außen auf Informationen zugreifen. Es gelte als gesichert, dass die Gruppierung hinter „Hafnium“ vor allem Forschungseinrichtungen (speziell solche, die in der Erforschung ansteckender Krankheiten aktiv seien), NGOs und Zulieferunternehmen für die Rüstungsindustrie ins Visier nehme.
„APT-Gruppen wie ,Hafnium‘ setzen in der Regel nicht auf kurzfristige und sichtbare Angriffe wie Ransomware – sondern versuchen über Zeit möglichst viele vertrauliche Daten zu sammeln. Fokus der Aktivitäten dürfte also in der Regel Industriespionage sein und nicht die klassische Verwertungskette organisierter Cybercrime-Gangs“, so Berghoff.

Täter haben bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei von Microsoft Exchange ausgeleitet

Da die Täter auch bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei ausgeleitet hätten, könne man die Kritikalität der entdeckten Sicherheitslücken nicht hoch genug bewerten. Es gebe jedoch eindeutige Anzeichen, „anhand derer sich klar erkennen lasse, ob sich derzeit jemand mit Hilfe dieser Kombination aus Zero-Day-Lücken Zugriff auf Unternehmensdaten verschafft hat“.
Eines dieser Anzeichen sei recht typisch für die Ausleitung von Daten. Beispielsweise speicherten die Täter Kopien der lokalen „Outlook“-Datei in einem ZIP-Archiv, welches in „%ProgramData%“ abgelegt werde. Ein regelmäßiger Blick könne sich also an dieser Stelle lohnen.
Typischerweise bereiteten die Täter die Ausleitung von Daten vor, indem sie die erbeuteten Informationen an einer Stelle sammelten und von dort aus dann nach außen sendeten. Im Falle von „Hafnium“ sei ein öffentlicher Online-Filesharing-Dienst namens „Mega“ verwendet wordem. Ein ebenfalls oft beobachtetes Anzeichen für verdächtige Aktivitäten in diesem Zusammenhang: „Prozess-Dumps, die in bestimmten Verzeichnissen wie c:\windows\temp abgelegt sind.“

Hinweise auf Ausnutzung von Microsoft Exchange durch „Hafnium“

Auf der Microsoft-Website sei eine sehr ausführliche Auflistung von Merkmalen und Kenndaten zu finden, die auf eine Ausnutzung durch „Hafnium“ hindeuteten.
Berghoff: „Darunter befinden sich bestimmte Aktivitäten, die sich in Log-Dateien wiederfinden. Ein Beispiel dafür wäre das automatisierte Herunterladen zusätzlicher Werkzeuge aus einem öffentlichen ,Github‘-Repository.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2021
Zerologon: Microsoft schloss kritische Schwachstelle

Microsoft, 02.03.2021
HAFNIUM targeting Exchange Servers with 0-day exploits

[datensicherheit.de, 12.08.2020] Im späten Frühjahr 2020 haben nach eigenen Angaben kasperskys automatisierte Erkennungstechnologien einen gezielten Angriff auf ein südkoreanisches Unternehmen verhindert. Bei der näheren Untersuchung der Attacke hätten kaspersky-Forscher zwei bislang unbekannte Schwachstellen entdeckt: Ein Exploit zur Ausführung von fremdem Code im „Internet Explorer“ und ein „Elevation of Priviliges Exploit“ (EoP) zur Erlangung höherer Zugriffsrechte in aktuellen Versionen von „Windows 10“. Patches für diese beiden Exploits seien bereits veröffentlicht worden. Bei sogenannten Zero-Day-Schwachstellen handele es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung könnten Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.

Auf zwei Zero-Day-Schwachstellen gestoßen und gezielten Angriff vereitelt

kaspersky-Experten seien bei der Untersuchung eines zielgerichteten Angriffs in Südkorea auf zwei „Zero Day“-Schwachstellen gestoßen. Der erste Exploit für den „Internet Explorer“ vom Typ „Use-After-Free“ sei in der Lage, aus der Ferne (remote) fremden Code auszuführen und sei mit der Bezeichnung „CVE-2020-1380“ versehen worden.
„Da der ,Internet Explorer‘ in einer isolierten Umgebung arbeitet, benötigten die Angreifer jedoch zusätzliche Rechte auf den infizierten Geräten. Diese erhielten sie über einen zweiten Exploit im ,Windows‘-Betriebssystem.“ Dieser Exploit (mit der Bezeichnung „CVE-2020-0986“) habe eine Schwachstelle im Printer-Service ausgenutzt und die Ausführung von beliebigem Code ermöglicht.

Aufdeckung von Zero-Day-Schwachstellen setzt Anbieter und Anwender unter Druck

„Reale Angriffe mit ,Zero-Day‘-Schwachstellen ‚in the wild‘ stoßen in der Cyber-Sicherheit-Szene immer auf großes Interesse“, erläutert kaspersky-Sicherheitsexperte Boris Larin und führt aus: „Werden solche Schwachstellen erfolgreich aufgedeckt, setzt das die Anbieter unter Druck, sofort Patches herauszubringen, und zwingt die Nutzer, alle erforderlichen Updates zu installieren. Was an dem entdeckten Angriff besonders interessant ist, ist, dass es bei den vorherigen Exploits hauptsächlich um die Erlangung höherer Privilegien ging.“
Dieser Fall beinhalte jedoch einen Exploit mit Funktionen zur Remote-Code-Ausführung, was ihn gefährlicher mache. Zusammen mit der Fähigkeit, die neuesten „Windows10“-Builds zu beeinflussen, sei der entdeckte Angriff „heutzutage wirklich eine seltene Sache“. Er sollte uns daran erinnern, in herausragende „Threat Intelligence“ und bewährte Schutztechnologien zu investieren, um die neuesten „Zero-Day“-Bedrohungen aktiv erkennen zu können.

Vermutlich wollte Gruppe DarkHotel Zero-Day-Schwachstellen ausnutzen

Laut kaspersky vermuten die eigenen Experten, „dass eventuell die Gruppe ,DarkHotel‘ hinter dem Angriff stehen könnte, denn es gibt gewisse Ähnlichkeiten des neuen Exploits mit früheren von ,DarkHotel‘ durchgeführten Angriffen.“
Das „Kaspersky Threat Intelligence Portal“ liefere detaillierte Informationen zu den „Indicators of Compromise“ (IoC) dieser Gruppe, inklusive „File Hashes“ und „C&C-Server“. Die kaspersky-Lösungen würden die Exploits als „PDM:Exploit.Win32.Generic“ erkennen.

Patches für Zero-Day-Schwachstellen veröffentlicht

Der Patch für die rechtebezogene Schwachstelle „CVE-2020-0986“ sei am 9. Juni 2020 veröffentlicht worden, einer für die Ausführung von Fremdcode („CVE-2020-1380“) am 11. August 2020. kaspersky gibt nun folgende Sicherheitsempfehlungen:

• Die Microsoft-Patches sollten so schnell wie möglich installiert werden, da Angreifer diese entdeckten Schwachstellen danach nicht mehr ausnutzen könnten.
• SOC-Teams sollten Zugriff auf aktuelle „Threat Intelligence“ haben. Das „Kaspersky Threat Intelligence Portal“ könne als zentrale Anlaufstelle dienen. Es liefere umfangreiche Daten zu Cyber-Angriffen und Erkenntnisse, welche kaspersky im Lauf von mehr als 20 Jahren angesammelt habe.
• EDR-Lösungen (wie z.B. „Kaspersky Endpoint Detection and Response“) könnten bei der Erkennung, Untersuchung und schnellen Beseitigung von Vorfällen an Endpoints helfen.
• Darüber hinaus sollten Unternehmen Sicherheitslösungen einsetzen, welche komplexe Gefahren bereits in frühen Stadien auf Netzwerk-Ebene erkennen (wie z.B. „Kaspersky Anti Targeted Attack Platform“).

Weitere Informationen zum Thema:

kaspersky, Boris Larin, 12.08.2020
Research / Internet Explorer and Windows zero-day exploits used in Operation PowerFall

kaspersky
Securelist Archive / Search Results for: darkhotel

BrightTalk, 21.02.2019
Three Windows zero-days in three months: how we found them in the wild

datensicherheit.de, 13.07.2019
Windows Zero-Day-Exploit: Buhtrap-Gruppe als Angreifer identifiziert

Unternehmen können mittels eines mehrschichtigen und proaktiven Sicherheitsansatzes Risiken und Folgeschäden deutlich minimieren

[datensicherheit.de, 14.10.2019] Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, geht in seiner aktuellen Stellungnahme auf sogenannte Zero-Day-Schwachstellen und entsprechende Exploit-Kits ein – diese seien „äußerst wertvoll auf dem Schwarzmarkt“. Kumpa warnt: „Cyber-Kriminelle, die etwa an staatlicher oder Industriespionage beteiligt sind, nutzen diese Schwachstellen als Einfallstor, um hochentwickelte Angriffe durchzuführen oder sensible Daten zu stehlen.“ Software-Schwachstellen und die damit verbundenen Zero-Day-Attacken werden laut Kumpa „auch zukünftig eine unvermeidbare Bedrohung bleiben“. Jedoch könnten Unternehmen durch einen mehrschichtigen und proaktiven Sicherheitsansatz die Risiken und Folgeschäden eines Zero-Day-Angriffs deutlich minimieren.

Foto: Dirk Pinnow

Christoph M. Kumpa (Bildmitte) beim Standbesuch bei „datensicherheit.de“ auf der „it-sa 2019“ – im Gespräch mit CI4-Clustersprecher Michael Taube (l.)

Zero-Day-Angriffe nehmen zu – viele Unternehmen schlecht vorbereitet

„Der durchschnittliche Lebenszyklus einer Zero-Day-Sicherheitslücke bis zu ihrem öffentlichen Bekanntwerden beträgt dabei rund sieben Jahre – Exploit-Kits für Angreifer stehen dagegen häufig bereits nach nicht einmal einem Monat zur Verfügung“, so Kumpa, sich auf eine unabhängige Analyse durch Sicherheitsforscher des US-amerikanischen Think-Tanks Rand Corporation stützend.
Obwohl die Anzahl der Zero-Day-Angriffe steige, seien viele Unternehmen schlecht vorbereitet, um sich gegen diese Attacken zu wehren. „Auch, weil klassische Sicherheitstools sich hauptsächlich gegen bekannte Bedrohungen richten.“

Zero-Day-Exploits nutzen -Schwachstellen aus

Kumpa erläutert: „Eine Zero-Day-Schwachstelle ist, einfach ausgedrückt, ein ungepatchtes Softwareproblem, das dem Softwarehersteller oder Antivirenanbietern bisher unbekannt ist. Es stehen daher keine Sicherheitspatches zur Verfügung, um den Fehler zu beheben.“ Zero-Day-Schwachstellen könnten in jeder Art von Software vorhanden sein und träten insbesondere bei Browser- und Betriebssystemsoftware sowie bei weitverbreiteter Software von Unternehmen wie beispielsweise Adobe auf.
Ein Zero-Day-Exploit sei der Code, den Angreifer verwendeten, um eine Zero-Day-Schwachstelle auszunutzen und ein System oder Gerät zu kompromittieren. So könnten Hacker unbemerkt durch die Nutzung des Exploits Zugriff auf Daten oder Netzwerke erhalten oder Malware auf einem Gerät installieren.

Angreifer nutzen Zeitfenster zwischen Entdeckung der Schwachstelle und Veröffentlichung eines Patches

Das Zeitfenster zwischen der Entdeckung einer Zero-Day-Schwachstelle und der Veröffentlichung eines Patches zur Behebung des Fehlers sei eine wertvolle Gelegenheit für Angreifer, die Lücke auszunutzen. „Deswegen werden Zero-Day-Schwachstellen häufig von Cyber-Kriminellen lukrativ auf dem Schwarzmarkt gehandelt. Die Preise für Zero-Day-Schwachstellen und Exploit-Kits sind sehr unterschiedlich, können aber bis zu 5.000 US-Dollar oder mehr einbringen.“ Ein Remote-Exploit für den „Firefox“ beispielsweise erziele Schätzungen zufolge Spitzenpreise von bis zu 200.000 Dollar, ein fortschrittlicher Exploit für „Google Chrome“ zwischen 500.000 und einer Million Dollar.
„Natürlich sind auch Schwachstellen, die in mehreren Versionen eines großen Betriebssystems oder einer Software vorhanden sind, wertvoller als solche, die nur in einer einzigen System- oder Softwareversion existieren“, erläutert Kumpa.

Verhaltensbasierte Sicherheitslösungen empfohlen

Unternehmen, die einen proaktiven Sicherheitsansatz verfolgten, seien besser gerüstet, um sich gegen Zero-Day-Angreifer zu verteidigen. Aufgrund ihrer Unbekanntheit umgingen Zero-Day-Exploits den Schutz durch traditionelle Antiviren-Signaturen. Verhaltensbasierte Sicherheitslösungen wie „Endpoint Detection and Response“ (EDR) könnten dagegen einen Zero-Day-Angriffe mithilfe von Heuristiken oder Algorithmen zur Verhaltensüberwachung erkennen:
„Diese Technologien überwachen hierfür Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank. Mithilfe von Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht.“ Dieser Vorgang könne automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Maßnahmen oder weiterführende Untersuchungen auslösten.

Unternehmensinterne Datentransparenz Schlüssel frühzeitiger Erkennung

Kumpa betont: „Unternehmensinterne Datentransparenz für Sicherheitsteams ist ein weiterer Schlüssel zur frühzeitigen Erkennung eines Zero-Day-Angriffs. Durch eine Überwachung aller Datenzugriffe und -aktivitäten auf anomales Verhalten können Unternehmen schnell Sicherheitsverstöße identifizieren und eindämmen, bevor es zum Datendiebstahl kommt.“
„Data Loss Prevention“-Lösungen, die kontextbasierte Klassifikation verwendeten, könnten sensible Geschäftsinformationen, Geistiges Eigentum und personenbezogene Daten sowohl in strukturierter Form in Datenbanken als auch in unstrukturierter Form, beispielsweise Dokumente, Bilder, E-Mails, Audio- oder Video-Daten, klassifizieren. Mithilfe von Richtlinien, Kontrollen und Verschlüsselung ließen sich so sensible Daten sowohl im Ruhezustand, in Bewegung und bei Verwendung vor Diebstahl schützen – „selbst, wenn es Cyber-Kriminellen gelingt, einen Zero-Day-Angriff durchzuführen und das Unternehmen einen Sicherheitsverstoß erleidet“.

Weitere Informationen zum Thema:

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

[datensicherheit.de, 03.07.2019] Kaspersky-Forscher haben eine neue Verschlüsselungs-Ransomware namens „Sodin“ entdeckt [1], die eine kürzlich entdeckte Zero-Day-Windows-Sicherheitslücke ausnutzt, um erhöhte Berechtigungen in einem infizierten System zu erlangen. Des Weiteren nutzt sie die Architektur der Central Processing Unit (CPU), um eine Erkennung zu vermeiden, und benötigt keine Nutzerinteraktion zur Infizierung.

Ransomware ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen

Ransomware, die Geräte oder Daten verschlüsselt oder sperrt und Lösegeld verlangt, ist eine ständige Cyberbedrohung für Privatanwender und Unternehmen. Die meisten Sicherheitslösungen erkennen bekannte Versionen und etablierte Angriffsmethoden. Die Sodin-Ransomware ist allerdings anspruchsvoller und nutzt eine kürzlich entdeckte Zero-Day-Sicherheitslücke in Windows (CVE-2018-8453)  [2] aus, um seine Rechte auf dem betroffenen System auszuweiten.

Malware als Ransomware-as-a-Service (RaaS)

Die Malware scheint Teil eines RaaS-Programms (Ransomware-as-a-Service) zu sein. Die Hintermänner, die den Schädling in Umlauf bringen, können dabei frei entscheiden, wie der Verschlüsseler in Umlauf gebracht werden
soll. Es gibt Anzeichen dafür, dass die Malware über ein Partnerprogramm verbreitet wird. So haben die Malware-Entwickler eine Lücke in der Funktionalität hinterlassen, die es ihnen ermöglicht, Dateien zu entschlüsseln, ohne dass ihre Partner es wissen: eine Art Hauptschlüssel, der nicht den Schlüssel des Partners beziehungsweise Verteilers zur Entschlüsselung benötigt. Damit können die Entwickler Opferdaten entschlüsseln sowie die Verteilung der Ransomware kontrollieren, indem beispielsweise bestimmte Distributoren aus dem Partnerprogramm ausgeschlossen werden und die Malware unbrauchbar gemacht wird.

„Ransomware ist eine sehr beliebte Art von Malware, aber es kommt nicht oft vor, dass wir eine so ausgefeilte und hochentwickelte Version sehen“, erklärt Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky. „Die Verwendung der CPU-Architektur, um unter dem Radar zu fliegen, ist für Verschlüsseler keine gängige Praxis. Wir erwarten einen Anstieg der Angriffe durch Sodin, da die Menge an Ressourcen, die zum Erstellen solcher Malware erforderlich sind, erheblich ist. Diejenigen, die in die Entwicklung der Malware investiert haben, erwarten auf jeden Fall, dass sie sich bezahlt machen.“

Sodin hatte bisher vor allem Opfer im asiatischen Raum im Visier: 17,6 Prozent der Angriffe wurden in Taiwan, 9,8 Prozent in Hongkong und 8,8 Prozent in der Republik Korea entdeckt. Es wurden jedoch auch Angriffe in Europa – darunter auch Deutschland und Italien -, Nordamerika und Lateinamerika beobachtet. Die Ransomware-Notiz, die auf infizierten PCs hinterlassen wird, verlangt von jedem Opfer Bitcoin im Wert von 2.500 US-Dollar für die Entschlüsselung.

Komplexe und hochentwickelte Ransomware

Ransomware erfordert normalerweise eine Form der Interaktion des Nutzers wie das Öffnen eines Anhangs in einer Mail oder das Anklicken eines schädlichen Link. Bei Sodin ist dies anders: Die Angreifer suchten sich anfällige Server und sendeten einen Befehl zum Herunterladen einer schädlichen Datei namens „radm.exe“, wodurch die Ransomware lokal gespeichert und ausgeführt wurde.

Ransomware durch „Heaven’s Gate“-Technik schwer zu erkennen

Sodin nutzt zudem die sogenannte „Heaven’s Gate“-Technik, wodurch die Ransomware schwer zu erkennen ist. Mit dieser Technik kann ein schädliches Programm 64-Bit-Code aus einem laufenden 32-Bit-Prozess ausführen, was keine alltägliche Praxis ist und bei Ransomware nicht häufig vorkommt.

Die Forscher glauben, dass diese in Sodin aus zwei Hauptgründen verwendet wird:

• um die Analyse des Schadcodes zu erschweren. Der Grund: Nicht alle Debugger (Software zur Code-Analyse) unterstützen diese Technik und können sie daher nicht erkennen;
• um der Erkennung durch installierte Sicherheitslösungen zu entgehen. Die Technik wird verwendet, um die emulationsbasierte Erkennung zu umgehen. Hierbei handelt es sich um eine Methode zum Aufdecken zuvor unbekannter Bedrohungen, bei der Code in einer virtuellen Umgebung gestartet wird, die einem realen Computer ähnelt. So soll verdächtiges Verhalten einer Software aufgedeckt werden.

Kaspersky-Sicherheitstipps für Unternehmen

• Die verwendete Software sollte regelmäßig aktualisiert werden. Sicherheitsprodukte mit Funktionen zur Schwachstellenanalyse und zum Patch-Management können dazu beitragen, diese Prozesse zu automatisieren.
• Die Verwendung einer zuverlässigen Sicherheitslösung wie Kaspersky Endpoint Security for Business, die über verhaltensbasierte Erkennungsfunktionen verfügt, schützt vor bekannten und unbekannten Bedrohungen einschließlich Exploits.

Kaspersky-Sicherheitslösungen erkennen die Ransomware als Trojan-Ransom.Win32.Sodin. Die Schwachstelle CVE-2018-8453, die die Ransomware verwendet, wurde von Kaspersky-Technologie entdeckt, als sie von einem Bedrohungsakteur ausgenutzt wurde. Die Forscher glauben, dass die Gruppe FruityArmor dahintersteckt. Die Schwachstelle wurde am 10. Oktober 2018 behoben.

Weitere Informationen zum Thema:

[1] https://securelist.com/sodin-ransomware/91473/
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8453

datensicherheit.de, 17.06.2019
Mutmaßliche Ransomware-Attacke auf Flugzeugbau-Zulieferer

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

datensicherheit.de, 08.05.2019
Mehr IT-Bedrohungen durch Ransomware

[datensicherheit.de, 11.04.2016] proofpoint hat nach eigenen Angaben eine aktuelle Zero-Day-Lücke in „Adobe Flash“ aufgedeckt.

Alle Versionen unter „Windows“ gefährdet

Diese Schwachstelle könne alle Versionen von „Flash“ auf „Windows“-Betriebssystemen betreffen. Nach Angaben von Adobe gebe es weltweit eine Milliarde Computer mit „Flash Player“.

Ausnutzung der Lücke zur Verbreitung von Ransomware

Die beobachteten Nutzerdaten zeigten, dass Angreifer diese Lücke als weitere Möglichkeit nutzten, um Ransomware (Epressungs-Software) zu verbreiten.

Weitere Informationen zum Thema:

proofpoint
Killing a Zero-Day in the Egg: Adobe CVE-2016-1019