Zero-Day-Exploits in Windows und im Internet Explorer

kaspersky deckte zielgerichteten Attacken rechtzeitig auf

[datensicherheit.de, 12.08.2020] Im späten Frühjahr 2020 haben nach eigenen Angaben kasperskys automatisierte Erkennungstechnologien einen gezielten Angriff auf ein südkoreanisches Unternehmen verhindert. Bei der näheren Untersuchung der Attacke hätten kaspersky-Forscher zwei bislang unbekannte Schwachstellen entdeckt: Ein Exploit zur Ausführung von fremdem Code im „Internet Explorer“ und ein „Elevation of Priviliges Exploit“ (EoP) zur Erlangung höherer Zugriffsrechte in aktuellen Versionen von „Windows 10“. Patches für diese beiden Exploits seien bereits veröffentlicht worden. Bei sogenannten Zero-Day-Schwachstellen handele es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung könnten Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.

Auf zwei Zero-Day-Schwachstellen gestoßen und gezielten Angriff vereitelt

kaspersky-Experten seien bei der Untersuchung eines zielgerichteten Angriffs in Südkorea auf zwei „Zero Day“-Schwachstellen gestoßen. Der erste Exploit für den „Internet Explorer“ vom Typ „Use-After-Free“ sei in der Lage, aus der Ferne (remote) fremden Code auszuführen und sei mit der Bezeichnung „CVE-2020-1380“ versehen worden.
„Da der ,Internet Explorer‘ in einer isolierten Umgebung arbeitet, benötigten die Angreifer jedoch zusätzliche Rechte auf den infizierten Geräten. Diese erhielten sie über einen zweiten Exploit im ,Windows‘-Betriebssystem.“ Dieser Exploit (mit der Bezeichnung „CVE-2020-0986“) habe eine Schwachstelle im Printer-Service ausgenutzt und die Ausführung von beliebigem Code ermöglicht.

Aufdeckung von Zero-Day-Schwachstellen setzt Anbieter und Anwender unter Druck

„Reale Angriffe mit ,Zero-Day‘-Schwachstellen ‚in the wild‘ stoßen in der Cyber-Sicherheit-Szene immer auf großes Interesse“, erläutert kaspersky-Sicherheitsexperte Boris Larin und führt aus: „Werden solche Schwachstellen erfolgreich aufgedeckt, setzt das die Anbieter unter Druck, sofort Patches herauszubringen, und zwingt die Nutzer, alle erforderlichen Updates zu installieren. Was an dem entdeckten Angriff besonders interessant ist, ist, dass es bei den vorherigen Exploits hauptsächlich um die Erlangung höherer Privilegien ging.“
Dieser Fall beinhalte jedoch einen Exploit mit Funktionen zur Remote-Code-Ausführung, was ihn gefährlicher mache. Zusammen mit der Fähigkeit, die neuesten „Windows10“-Builds zu beeinflussen, sei der entdeckte Angriff „heutzutage wirklich eine seltene Sache“. Er sollte uns daran erinnern, in herausragende „Threat Intelligence“ und bewährte Schutztechnologien zu investieren, um die neuesten „Zero-Day“-Bedrohungen aktiv erkennen zu können.

Vermutlich wollte Gruppe DarkHotel Zero-Day-Schwachstellen ausnutzen

Laut kaspersky vermuten die eigenen Experten, „dass eventuell die Gruppe ,DarkHotel‘ hinter dem Angriff stehen könnte, denn es gibt gewisse Ähnlichkeiten des neuen Exploits mit früheren von ,DarkHotel‘ durchgeführten Angriffen.“
Das „Kaspersky Threat Intelligence Portal“ liefere detaillierte Informationen zu den „Indicators of Compromise“ (IoC) dieser Gruppe, inklusive „File Hashes“ und „C&C-Server“. Die kaspersky-Lösungen würden die Exploits als „PDM:Exploit.Win32.Generic“ erkennen.

Patches für Zero-Day-Schwachstellen veröffentlicht

Der Patch für die rechtebezogene Schwachstelle „CVE-2020-0986“ sei am 9. Juni 2020 veröffentlicht worden, einer für die Ausführung von Fremdcode („CVE-2020-1380“) am 11. August 2020. kaspersky gibt nun folgende Sicherheitsempfehlungen:

• Die Microsoft-Patches sollten so schnell wie möglich installiert werden, da Angreifer diese entdeckten Schwachstellen danach nicht mehr ausnutzen könnten.
• SOC-Teams sollten Zugriff auf aktuelle „Threat Intelligence“ haben. Das „Kaspersky Threat Intelligence Portal“ könne als zentrale Anlaufstelle dienen. Es liefere umfangreiche Daten zu Cyber-Angriffen und Erkenntnisse, welche kaspersky im Lauf von mehr als 20 Jahren angesammelt habe.
• EDR-Lösungen (wie z.B. „Kaspersky Endpoint Detection and Response“) könnten bei der Erkennung, Untersuchung und schnellen Beseitigung von Vorfällen an Endpoints helfen.
• Darüber hinaus sollten Unternehmen Sicherheitslösungen einsetzen, welche komplexe Gefahren bereits in frühen Stadien auf Netzwerk-Ebene erkennen (wie z.B. „Kaspersky Anti Targeted Attack Platform“).

Weitere Informationen zum Thema:

kaspersky, Boris Larin, 12.08.2020
Research / Internet Explorer and Windows zero-day exploits used in Operation PowerFall

kaspersky
Securelist Archive / Search Results for: darkhotel

BrightTalk, 21.02.2019
Three Windows zero-days in three months: how we found them in the wild

datensicherheit.de, 13.07.2019
Windows Zero-Day-Exploit: Buhtrap-Gruppe als Angreifer identifiziert