Zero-Days in Microsoft Windows und Chrome: Neuer Bedrohungsakteur PuzzleMaker nutzte diese für zielgerichtete Angriffe

Bereits im April entdeckten Kaspersky-Experten eine Reihe extrem zielgerichteter Cyberattacken gegen mehrere Unternehmen, die zuvor unentdeckte Google-Chrome- und Microsoft-Windows-Zero-Day-Exploits nutzten. Kaspersky konnte bisher keine Verbindung zu bekannten Bedrohungsakteuren herstellen und nennt diesen neuen Bedrohungsakteur deshalb PuzzleMaker [1]. Einer der Exploits wurde zur Remote-Codeausführung im Chrome-Webbrowser verwendet, der andere wurde zur Erhöhung von Berechtigungen und zielte auf die neuesten und bekanntesten Builds von Windows 10 ab. Letzterer nutzt zwei Schwachstellen im Microsoft Windows Betriebssystem-Kernel aus: Sicherheitslücke CVE-2021-31955 und die Elevation-of-Privilege-Sicherheitslücke CVE-2021-31956. Beides hat Microsoft gestern Abend im Rahmen des Patch Tuesday gepatcht.

In den vergangenen Monaten gab es eine Reihe fortschrittlicher Bedrohungsaktivitäten, bei denen Zero-Days ausgenutzt wurden [2]. Mitte April entdeckten Kaspersky-Experten eine neue Welle von hochgradig zielgerichteten Exploit-Angriffen gegen mehrere Unternehmen, bei denen Angreifer die anvisierten Netzwerke heimlich kompromittieren konnten. Alle Angriffe wurden über Chrome durchgeführt und nutzten einen Exploit, der eine Remote-Codeausführung ermöglichte.

Kaspersky-Forscher konnten den Code für den Remote-Execution-Exploit zwar nicht abrufen, allerdings deutet das Timing und die Verfügbarkeit darauf hin, dass die Angreifer die nun gepatchte Sicherheitslücke CVE-2021-21224 dafür ausnutzten. Diese steht in Zusammenhang mit einem Type-Mismatch-Bug in V8 – einer JavaScript-Engine, die von Chrome- und Chromium-Webbrowsern verwendet wird. Dadurch konnten die Bedrohungsakteure den Chrome-Renderer-Prozess ausnutzen, der dafür verantwortlich ist, was innerhalb eines Tabs des Nutzers passiert.

Die Kaspersky-Experten konnten jedoch den zweiten Exploit identifizieren und analysieren. Dabei handelt es sich um einen Exploit zur Erhöhung von Berechtigungen (Elevation of Privilege), der zwei Schwachstellen im Microsoft Windows-Betriebssystem-Kernel ausnutzt. Bei dem ersten handelt es sich um eine Information-Disclosure-Schwachstelle mit der Bezeichnung CVE-2021-31955, bei der sensible Kernel-Informationen durchsickern. Die Sicherheitslücke steht im Zusammenhang mit SuperFetch, einer Funktion, die erstmals in Windows Vista eingeführt wurde und Ladezeiten von Software verkürzen sollte, indem häufig verwendete Anwendungen vorab im Arbeitsspeicher geladen werden.

Bei der zweiten handelt es sich um eine Elevation-of-Privilege-Schwachstelle, die es Angreifern ermöglicht, den Kernel zu kompromittieren und erhöhten Zugriff auf den Computer zu erlangen. Sie trägt die Bezeichnung CVE-2021-31956 und ist ein Heap-basierter Buffer Overflow. Angreifer nutzten die Schwachstelle CVE-2021-31956 zusammen mit Windows Notification Facility (WNF), um beliebige Lese- und Schreib-Primitive im Speicher zu erstellen und Malware-Module mit Systemprivilegien auszuführen.

Malware-Dropper lädt Remote-Shell-Modul nach

Sobald die Angreifer sowohl die Chrome- als auch die Windows-Exploits ausgenutzt haben, um im Zielsystem Fuß zu fassen, lädt das Stager-Modul einen komplexeren Malware-Dropper von einem Remote-Server herunter und führt diesen aus. Dieser installiert dann zwei ausführbare Dateien, die sich als legitime Dateien des Microsoft Windows-Betriebssystems tarnen. Die zweite dieser beiden ausführbaren Dateien ist ein Remote-Shell-Modul, das in der Lage ist, Dateien herunter- und hochzuladen, Prozesse zu erstellen, für eine bestimmte Zeit inaktiv zu sein und sich selbst vom infizierten System zu löschen.

Microsoft hat gestern Abend im Rahmen des Patch Tuesday einen Patch für beide Windows-Sicherheitslücken veröffentlicht.

„Obwohl diese Angriffe sehr zielgerichtet waren, müssen wir sie noch mit einem bekannten Bedrohungsakteur in Verbindung bringen“, kommentiert Boris Larin, Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Wir haben den Akteur dahinter „PuzzleMaker“ genannt und werden die Sicherheitslandschaft auf zukünftige Aktivitäten oder neue Erkenntnisse über diese Gruppe genau beobachten. In letzter Zeit haben wir mehrere Wellen komplexer Bedrohungsaktivitäten gesehen, die von Zero-Day-Exploits angetrieben wurden. Das zeigt erneut, dass Zero Days weiterhin die effektivste Methode zur Infektion von Zielen sind. Nachdem diese Schwachstellen nun öffentlich bekannt sind, ist es möglich, dass ihre Nutzung bei Angriffen durch diesen und andere Bedrohungsakteure zunehmen wird. Daher ist es für Nutzer sehr wichtig, den neuesten Patch von Microsoft so schnell wie möglich herunterzuladen.“

Kaspersky-Empfehlungen für Unternehmen zum Schutz vor Zero-Day-Angriffen

• Chrome-Browser und Microsoft Windows umgehend und regelmäßig aktualisieren.
• Eine zuverlässige Endpoint-Sicherheitslösung wie Kaspersky Endpoint Security for Business [3] verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Remediation-Engine basiert, die schädliche Aktionen rückgängig machen können.
• Anti-APT- und EDR-Lösungen implementieren, die Funktionen zur Bedrohungserkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen bietet. Kaspersky Managed Detection and Response [4] kann dabei helfen, Angriffe in einem frühen Stadium zu erkennen und zu stoppen, bevor die Angreifer ihre Ziele erreichen.
• Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben und regelmäßig geschult werden, beispielsweise über Kaspersky Expert Security [5].

Kaspersky-Produkte erkennen und schützen vor dem Exploit für die oben genannten Schwachstellen und die damit verbundenen Malware-Module.

Weitere Informationen zu PuzzleMaker sind verfügbar unter https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/

[1] https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/
[2] https://www.youtube.com/watch?v=1RS5KQcVTlc
[3] https://www.kaspersky.com/small-to-medium-business-security/endpoint-select
[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[5] https://www.kaspersky.de/enterprise-security

• Kaspersky-Analyse zu PuzzleMaker: https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/
• Kaspersky-Portfolio für Unternehmen: https://www.kaspersky.de/enterprise-security

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 240.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/