Kaspersky Lab entdeckt kritische Schwachstelle im Windows-Betriebssystem
Kaspersky Lab hat eine zuvor unbekannte Schwachstelle – eine so genannte Zero-Day-Schwachstelle – in Microsoft Windows entdeckt [1]. Eine bisher nicht identifizierte kriminelle Gruppe war dadurch in der Lage, die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen hatten es auf den Kernel des Systems mittels einer Backdoor abgesehen, die aus einem wesentlichen Element des Windows-Betriebssystems aufgebaut war.
Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen. Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technologie von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen.
Zero-Day-Exploit: Infektionsablauf
Nach dem Start der schädlichen .exe-Datei begann die Installation der Malware. Die Infektion nutzte eine Zero-Day-Schwachstelle aus und erlangte so Privilegien für eine erfolgreiche Persistenz auf dem Computer des Opfers. Die Malware initiierte daraufhin den Start einer Backdoor, die mit einem legitimen Windows-Element entwickelt wurde und auf allen Computern dieses Betriebssystems vorhanden ist: das Scripting-Framework Windows PowerShell. Dadurch konnten die Angreifer unentdeckt bleiben und erhielten Zeit, für das Schreiben des Codes für bösartige Tools. Die Malware lud sodann eine weitere Backdoor von einem beliebten, legitimen Text-Storage-Service herunter, die den Cyberkriminellen die vollständige Kontrolle über das infizierte System gab.
„Bei diesem Angriff sehen wir zwei Trends, die wir häufig bei Advanced Persistent Threats (APTs) sehen“, erklärt Anton Ivanov, Sicherheitsexperte bei Kaspersky Lab. „Erstens, die Verwendung lokaler Exploits zur Privilegien-Erweiterung, um auf dem Computer des Opfers zu bleiben. Zweitens die Verwendung legitimer Frameworks wie Windows PowerShell für bösartige Zwecke auf dem Computer des Opfers. Diese Kombination gibt den Bedrohungsakteuren die Möglichkeit, Standard-Sicherheitslösungen zu umgehen. Um solche Techniken erfolgreich zu erkennen, muss eine Sicherheitslösung Exploit-Prevention- und Verhaltenserkennungstechnologien verwenden.“
Kaspersky-Sicherheitsempfehlungen
Um die Installation von Backdoors aufgrund von Zero-Day-Schwachstellen von Windows zu verhindern, empfiehlt Kaspersky Lab die folgenden Sicherheitsmaßnahmen:
- Verfügbare Patches von Microsoft für die neue Schwachstelle [2] sowie für sämtliche verwendete Software umgehend installieren. Erweiterte Sicherheitsprodukte mit Schwachstellenanalyse und Patch-Management-Funktion können solche Prozesse automatisieren. • Eine umfassende Sicherheitslösung mit verhaltensbasierten Erkennungsfunktionen wie Kaspersky Endpoint Security for Business [3] verwenden, um auch vor unbekannten Bedrohungen sicher zu sein.
- Das Sicherheitsteam sollte stets Zugriff auf die neuesten Cyberbedrohungsinformationen haben. Den Kunden von Kaspersky Intelligence Reporting [4] stehen private Berichte über die neuesten Entwicklungen in der Bedrohungslandschaft zur Verfügung.
- Mitarbeiter in den Grundlagen der Cybersecurity-Hygiene schulen. Die Schwachstelle wurde am 10. April 2019 an Microsoft gemeldet und beseitigt. Kaspersky-Produkte erkannten den Exploit als:
- HEUR: Exploit.Win32.Generic
- HEUR: Trojan.Win32.Generic
- PDM: Exploit.Win32.Generic
Weitere Infos und Quelle: Kaspersky