Kaspersky-Experten haben einen neuen Zero-Day-Exploit entdeckt. ‚MysterySnail‘ wurde im Rahmen der Analyse einer Reihe von Angriffen zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern identifiziert; zuvor hatten die automatisierten Erkennungstechnologien die Angriffe erfasst.

In der ersten Jahreshälfte haben Kaspersky-Experten eine Zunahme von Zero-Day-Angriffen beobachtet [2]. Dabei werden unbekannte Softwarefehler ausgenutzt, die bereits von Angreifern entdeckt wurden, von denen aber der Anbieter noch keine Kenntnis hat. Dementsprechend steht kein Patch zur Verfügung und die Wahrscheinlichkeit eines erfolgreichen Angriffs steigt.

Die Technologien von Kaspersky haben eine Reihe von Angriffen erkannt, die einen Exploit zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern verwendeten. Dieser Exploit hatte viele Debug-Strings von einem älteren, öffentlich bekannten Exploit für die Schwachstelle CVE-2016-3309 [3], eine genauere Analyse ergab jedoch, dass es sich um einen neuen Zero-Day handelt. Kaspersky-Forscher tauften diesen Aktivitäten-Cluster MysterySnail.

Aufgrund der entdeckten Code-Ähnlichkeit und der Wiederverwendung der Command-and-Control (C&C)-Infrastruktur bringen die Kaspersky-Experten diese Angriffe mit der berüchtigten IronHusky-Gruppe und chinesischsprachigen APT-Aktivitäten aus dem Jahr 2012 in Verbindung.

Bei der Analyse der beim Zero-Day-Exploit verwendeten Malware-Payload fand Kaspersky heraus, dass Varianten dieser Malware in weit verbreiteten Spionagekampagnen gegen IT-Firmen, Militär- und Verteidigungsunternehmen sowie diplomatische Einrichtungen eingesetzt wurden.

Die Sicherheitslücke wurde Microsoft gemeldet und am 12. Oktober 2021 im Rahmen des Oktober-Patch-Tuesdays gepatcht.

Kaspersky-Produkte erkennen und schützen vor dem Exploit für die oben genannte Schwachstelle und die damit verbundenen Malware-Module.

„Wir beobachten in den letzten Jahren ein anhaltendes Interesse seitens der Angreifer, neue Zero-Days zu finden und auszunutzen. Bisher unbekannte Schwachstellen der Anbieter können eine ernsthafte Bedrohung für Unternehmen darstellen. Die meisten von ihnen teilen jedoch ähnliche Verhaltensweisen, sodass es wichtig ist, sich auf die neuesten Bedrohungsinformationen zu verlassen und Sicherheitslösungen zu installieren, die proaktiv unbekannte Bedrohungen entdecken“, kommentiert Boris Larin, Sicherheitsexperte im Global Research and Analysis Team (GReAT) bei Kaspersky.

Kaspersky-Empfehlungen zum Schutz vor MysterySnail

  • Das Microsoft-Windows-Betriebssystem und andere Software von Drittanbietern umgehend aktualisieren.
  • Eine zuverlässige Endpoint-Sicherheitslösung wie Kaspersky Endpoint Security for Business [5] verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Korrektur-Engine basiert, die schädliche Aktionen rückgängig machen kann.
  • Anti-APT- und EDR-Lösungen implementieren, die Funktionen zur Bedrohungserkennung, -untersuchung und rechtzeitigen Behebung von Vorfällen ermöglichen.
  • Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen [6] haben und regelmäßig geschult werden.
  • Dedizierte Services wie Kaspersky Managed Detection and Response [7] helfen dabei, Angriffe frühzeitig zu erkennen und zu stoppen.

Weitere Informationen zu MysterySnail sind verfügbar unter https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/

 

[1] https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/

[2] https://www.youtube.com/watch?v=5XcbZJnQJmo&t=242s

[3] https://github.com/siberas/CVE-2016-3309_Reloaded/

[4] https://securelist.com/apt-trends-report-q1-2018/85280/

[5] https://www.kaspersky.de/small-to-medium-business-security

[6] https://www.kaspersky.de/enterprise-security/threat-intelligence

[7] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

 

Nützliche Links:


MysterySnail: Kaspersky entdeckt Zero-Day-Exploit für Windows OS

Missbrauch der Schwachstelle in Spionagekampagnen gegen IT-Unternehmen, Militär- und Verteidigungsorganisationen sowie diplomatische Einrichtungen
Kaspersky Logo