Artikel

Kaspersky Lab entdeckt kritische Schwachstelle im Windows-Betriebssystem


Exploit-Prevention-Technologie erkennt Zero-Day-Exploit

Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen.

Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technologie von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen.

Zero-Day-Exploit: Infektionsablauf

Nach dem Start der schädlichen .exe-Datei begann die Installation der Malware. Die Infektion nutzte eine Zero-Day-Schwachstelle aus und erlangte so Privilegien für eine erfolgreiche Persistenz auf dem Computer des Opfers. Die Malware initiierte daraufhin den Start einer Backdoor, die mit einem legitimen Windows-Element entwickelt wurde und auf allen Computern dieses Betriebssystems vorhanden ist: das Scripting-Framework Windows PowerShell. Dadurch konnten die Angreifer unentdeckt bleiben und erhielten Zeit, für das Schreiben des Codes für bösartige Tools. Die Malware lud sodann eine weitere Backdoor von einem beliebten, legitimen Text-Storage-Service herunter, die den Cyberkriminellen die vollständige Kontrolle über das infizierte System gab.

„Bei diesem Angriff sehen wir zwei Trends, die wir häufig bei Advanced Persistent Threats (APTs) sehen“, erklärt Anton Ivanov, Sicherheitsexperte bei Kaspersky Lab. „Erstens, die Verwendung lokaler Exploits zur Privilegien-Erweiterung, um auf dem Computer des Opfers zu bleiben. Zweitens die Verwendung legitimer Frameworks wie Windows PowerShell für bösartige Zwecke auf dem Computer des Opfers. Diese Kombination gibt den Bedrohungsakteuren die Möglichkeit, Standard-Sicherheitslösungen zu umgehen. Um solche Techniken erfolgreich zu erkennen, muss eine Sicherheitslösung Exploit-Prevention- und Verhaltenserkennungstechnologien verwenden.“

Kaspersky-Sicherheitsempfehlungen

Um die Installation von Backdoors aufgrund von Zero-Day-Schwachstellen von Windows zu verhindern, empfiehlt Kaspersky Lab die folgenden

Sicherheitsmaßnahmen:

•    Verfügbare Patches von Microsoft für die neue Schwachstelle [2] sowie für sämtliche verwendete Software umgehend installieren.

Erweiterte Sicherheitsprodukte mit Schwachstellenanalyse und Patch-Management-Funktion können solche Prozesse automatisieren.

•    Eine umfassende Sicherheitslösung mit verhaltensbasierten Erkennungsfunktionen wie Kaspersky Endpoint Security for Business [3] verwenden, um auch vor unbekannten Bedrohungen sicher zu sein.

•    Das Sicherheitsteam sollte stets Zugriff auf die neuesten Cyberbedrohungsinformationen haben. Den Kunden von Kaspersky Intelligence Reporting [4] stehen private Berichte über die neuesten Entwicklungen in der Bedrohungslandschaft zur Verfügung.

•    Mitarbeiter in den Grundlagen der Cybersecurity-Hygiene schulen.

Die Schwachstelle wurde am 10. April 2019 an Microsoft gemeldet und beseitigt. Kaspersky-Produkte erkannten den Exploit als:

•    HEUR: Exploit.Win32.Generic

•    HEUR: Trojan.Win32.Generic

•    PDM: Exploit.Win32.Generic

 

Weitere Informationen zum neuen Exploit sind verfügbar unter https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/. Darüber hinaus sind Details zu den Kaspersky-Erkennungs-Tools und dem Exploit im aufgezeichneten Webinar zu finden https://www.brighttalk.com/webcast/15591/348704

[1] https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/

[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0859

[3] https://www.kaspersky.de/enterprise-security/endpoint-product

[4] Für weitere Informationen bitte an intelreports(at)kaspersky.com wenden

Nützliche Links:

•    Kaspersky-Bericht zum Exploit: https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/

•    Kaspersky Endpoint Security for Business: https://www.kaspersky.de/enterprise-security/endpoint-product

•    Kaspersky APT Intelligence Reporting: https://www.kaspersky.de/enterprise-security/apt-intelligence-reporting