Aktuelles, Branche - geschrieben von dp am Mittwoch, August 12, 2020 19:36 - noch keine Kommentare
Zero-Day-Exploits in Windows und im Internet Explorer
kaspersky deckte zielgerichteten Attacken rechtzeitig auf
[datensicherheit.de, 12.08.2020] Im späten Frühjahr 2020 haben nach eigenen Angaben kasperskys automatisierte Erkennungstechnologien einen gezielten Angriff auf ein südkoreanisches Unternehmen verhindert. Bei der näheren Untersuchung der Attacke hätten kaspersky-Forscher zwei bislang unbekannte Schwachstellen entdeckt: Ein Exploit zur Ausführung von fremdem Code im „Internet Explorer“ und ein „Elevation of Priviliges Exploit“ (EoP) zur Erlangung höherer Zugriffsrechte in aktuellen Versionen von „Windows 10“. Patches für diese beiden Exploits seien bereits veröffentlicht worden. Bei sogenannten Zero-Day-Schwachstellen handele es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung könnten Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.
Auf zwei Zero-Day-Schwachstellen gestoßen und gezielten Angriff vereitelt
kaspersky-Experten seien bei der Untersuchung eines zielgerichteten Angriffs in Südkorea auf zwei „Zero Day“-Schwachstellen gestoßen. Der erste Exploit für den „Internet Explorer“ vom Typ „Use-After-Free“ sei in der Lage, aus der Ferne (remote) fremden Code auszuführen und sei mit der Bezeichnung „CVE-2020-1380“ versehen worden.
„Da der ,Internet Explorer‘ in einer isolierten Umgebung arbeitet, benötigten die Angreifer jedoch zusätzliche Rechte auf den infizierten Geräten. Diese erhielten sie über einen zweiten Exploit im ,Windows‘-Betriebssystem.“ Dieser Exploit (mit der Bezeichnung „CVE-2020-0986“) habe eine Schwachstelle im Printer-Service ausgenutzt und die Ausführung von beliebigem Code ermöglicht.
Aufdeckung von Zero-Day-Schwachstellen setzt Anbieter und Anwender unter Druck
„Reale Angriffe mit ,Zero-Day‘-Schwachstellen ‚in the wild‘ stoßen in der Cyber-Sicherheit-Szene immer auf großes Interesse“, erläutert kaspersky-Sicherheitsexperte Boris Larin und führt aus: „Werden solche Schwachstellen erfolgreich aufgedeckt, setzt das die Anbieter unter Druck, sofort Patches herauszubringen, und zwingt die Nutzer, alle erforderlichen Updates zu installieren. Was an dem entdeckten Angriff besonders interessant ist, ist, dass es bei den vorherigen Exploits hauptsächlich um die Erlangung höherer Privilegien ging.“
Dieser Fall beinhalte jedoch einen Exploit mit Funktionen zur Remote-Code-Ausführung, was ihn gefährlicher mache. Zusammen mit der Fähigkeit, die neuesten „Windows10“-Builds zu beeinflussen, sei der entdeckte Angriff „heutzutage wirklich eine seltene Sache“. Er sollte uns daran erinnern, in herausragende „Threat Intelligence“ und bewährte Schutztechnologien zu investieren, um die neuesten „Zero-Day“-Bedrohungen aktiv erkennen zu können.
Vermutlich wollte Gruppe DarkHotel Zero-Day-Schwachstellen ausnutzen
Laut kaspersky vermuten die eigenen Experten, „dass eventuell die Gruppe ,DarkHotel‘ hinter dem Angriff stehen könnte, denn es gibt gewisse Ähnlichkeiten des neuen Exploits mit früheren von ,DarkHotel‘ durchgeführten Angriffen.“
Das „Kaspersky Threat Intelligence Portal“ liefere detaillierte Informationen zu den „Indicators of Compromise“ (IoC) dieser Gruppe, inklusive „File Hashes“ und „C&C-Server“. Die kaspersky-Lösungen würden die Exploits als „PDM:Exploit.Win32.Generic“ erkennen.
Patches für Zero-Day-Schwachstellen veröffentlicht
Der Patch für die rechtebezogene Schwachstelle „CVE-2020-0986“ sei am 9. Juni 2020 veröffentlicht worden, einer für die Ausführung von Fremdcode („CVE-2020-1380“) am 11. August 2020. kaspersky gibt nun folgende Sicherheitsempfehlungen:
- Die Microsoft-Patches sollten so schnell wie möglich installiert werden, da Angreifer diese entdeckten Schwachstellen danach nicht mehr ausnutzen könnten.
- SOC-Teams sollten Zugriff auf aktuelle „Threat Intelligence“ haben. Das „Kaspersky Threat Intelligence Portal“ könne als zentrale Anlaufstelle dienen. Es liefere umfangreiche Daten zu Cyber-Angriffen und Erkenntnisse, welche kaspersky im Lauf von mehr als 20 Jahren angesammelt habe.
- EDR-Lösungen (wie z.B. „Kaspersky Endpoint Detection and Response“) könnten bei der Erkennung, Untersuchung und schnellen Beseitigung von Vorfällen an Endpoints helfen.
- Darüber hinaus sollten Unternehmen Sicherheitslösungen einsetzen, welche komplexe Gefahren bereits in frühen Stadien auf Netzwerk-Ebene erkennen (wie z.B. „Kaspersky Anti Targeted Attack Platform“).
Weitere Informationen zum Thema:
kaspersky, Boris Larin, 12.08.2020
Research / Internet Explorer and Windows zero-day exploits used in Operation PowerFall
kaspersky
Securelist Archive / Search Results for: darkhotel
BrightTalk, 21.02.2019
Three Windows zero-days in three months: how we found them in the wild
datensicherheit.de, 13.07.2019
Windows Zero-Day-Exploit: Buhtrap-Gruppe als Angreifer identifiziert
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren