Aktuelles, Branche - geschrieben von dp am Mittwoch, August 12, 2020 19:36 - noch keine Kommentare
Zero-Day-Exploits in Windows und im Internet Explorer
kaspersky deckte zielgerichteten Attacken rechtzeitig auf
[datensicherheit.de, 12.08.2020] Im späten Frühjahr 2020 haben nach eigenen Angaben kasperskys automatisierte Erkennungstechnologien einen gezielten Angriff auf ein südkoreanisches Unternehmen verhindert. Bei der näheren Untersuchung der Attacke hätten kaspersky-Forscher zwei bislang unbekannte Schwachstellen entdeckt: Ein Exploit zur Ausführung von fremdem Code im „Internet Explorer“ und ein „Elevation of Priviliges Exploit“ (EoP) zur Erlangung höherer Zugriffsrechte in aktuellen Versionen von „Windows 10“. Patches für diese beiden Exploits seien bereits veröffentlicht worden. Bei sogenannten Zero-Day-Schwachstellen handele es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung könnten Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.
Auf zwei Zero-Day-Schwachstellen gestoßen und gezielten Angriff vereitelt
kaspersky-Experten seien bei der Untersuchung eines zielgerichteten Angriffs in Südkorea auf zwei „Zero Day“-Schwachstellen gestoßen. Der erste Exploit für den „Internet Explorer“ vom Typ „Use-After-Free“ sei in der Lage, aus der Ferne (remote) fremden Code auszuführen und sei mit der Bezeichnung „CVE-2020-1380“ versehen worden.
„Da der ,Internet Explorer‘ in einer isolierten Umgebung arbeitet, benötigten die Angreifer jedoch zusätzliche Rechte auf den infizierten Geräten. Diese erhielten sie über einen zweiten Exploit im ,Windows‘-Betriebssystem.“ Dieser Exploit (mit der Bezeichnung „CVE-2020-0986“) habe eine Schwachstelle im Printer-Service ausgenutzt und die Ausführung von beliebigem Code ermöglicht.
Aufdeckung von Zero-Day-Schwachstellen setzt Anbieter und Anwender unter Druck
„Reale Angriffe mit ,Zero-Day‘-Schwachstellen ‚in the wild‘ stoßen in der Cyber-Sicherheit-Szene immer auf großes Interesse“, erläutert kaspersky-Sicherheitsexperte Boris Larin und führt aus: „Werden solche Schwachstellen erfolgreich aufgedeckt, setzt das die Anbieter unter Druck, sofort Patches herauszubringen, und zwingt die Nutzer, alle erforderlichen Updates zu installieren. Was an dem entdeckten Angriff besonders interessant ist, ist, dass es bei den vorherigen Exploits hauptsächlich um die Erlangung höherer Privilegien ging.“
Dieser Fall beinhalte jedoch einen Exploit mit Funktionen zur Remote-Code-Ausführung, was ihn gefährlicher mache. Zusammen mit der Fähigkeit, die neuesten „Windows10“-Builds zu beeinflussen, sei der entdeckte Angriff „heutzutage wirklich eine seltene Sache“. Er sollte uns daran erinnern, in herausragende „Threat Intelligence“ und bewährte Schutztechnologien zu investieren, um die neuesten „Zero-Day“-Bedrohungen aktiv erkennen zu können.
Vermutlich wollte Gruppe DarkHotel Zero-Day-Schwachstellen ausnutzen
Laut kaspersky vermuten die eigenen Experten, „dass eventuell die Gruppe ,DarkHotel‘ hinter dem Angriff stehen könnte, denn es gibt gewisse Ähnlichkeiten des neuen Exploits mit früheren von ,DarkHotel‘ durchgeführten Angriffen.“
Das „Kaspersky Threat Intelligence Portal“ liefere detaillierte Informationen zu den „Indicators of Compromise“ (IoC) dieser Gruppe, inklusive „File Hashes“ und „C&C-Server“. Die kaspersky-Lösungen würden die Exploits als „PDM:Exploit.Win32.Generic“ erkennen.
Patches für Zero-Day-Schwachstellen veröffentlicht
Der Patch für die rechtebezogene Schwachstelle „CVE-2020-0986“ sei am 9. Juni 2020 veröffentlicht worden, einer für die Ausführung von Fremdcode („CVE-2020-1380“) am 11. August 2020. kaspersky gibt nun folgende Sicherheitsempfehlungen:
- Die Microsoft-Patches sollten so schnell wie möglich installiert werden, da Angreifer diese entdeckten Schwachstellen danach nicht mehr ausnutzen könnten.
- SOC-Teams sollten Zugriff auf aktuelle „Threat Intelligence“ haben. Das „Kaspersky Threat Intelligence Portal“ könne als zentrale Anlaufstelle dienen. Es liefere umfangreiche Daten zu Cyber-Angriffen und Erkenntnisse, welche kaspersky im Lauf von mehr als 20 Jahren angesammelt habe.
- EDR-Lösungen (wie z.B. „Kaspersky Endpoint Detection and Response“) könnten bei der Erkennung, Untersuchung und schnellen Beseitigung von Vorfällen an Endpoints helfen.
- Darüber hinaus sollten Unternehmen Sicherheitslösungen einsetzen, welche komplexe Gefahren bereits in frühen Stadien auf Netzwerk-Ebene erkennen (wie z.B. „Kaspersky Anti Targeted Attack Platform“).
Weitere Informationen zum Thema:
kaspersky, Boris Larin, 12.08.2020
Research / Internet Explorer and Windows zero-day exploits used in Operation PowerFall
kaspersky
Securelist Archive / Search Results for: darkhotel
BrightTalk, 21.02.2019
Three Windows zero-days in three months: how we found them in the wild
datensicherheit.de, 13.07.2019
Windows Zero-Day-Exploit: Buhtrap-Gruppe als Angreifer identifiziert
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren