Kaspersky Lab entdeckt kritische Schwachstelle im Windows-Betriebssystem

15. April 2019

Exploit-Prevention-Technologie erkennt Zero-Day-Exploit

Kaspersky Lab hat eine zuvor unbekannte Schwachstelle – eine so genannte Zero-Day-Schwachstelle – in Microsoft Windows entdeckt [1]. Eine bisher nicht identifizierte kriminelle Gruppe war dadurch in der Lage, die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen hatten es auf den Kernel des Systems mittels einer Backdoor abgesehen, die aus einem wesentlichen Element des Windows-Betriebssystems aufgebaut war.

Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen. Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technologie von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen.

Zero-Day-Exploit: Infektionsablauf

Nach dem Start der schädlichen .exe-Datei begann die Installation der Malware. Die Infektion nutzte eine Zero-Day-Schwachstelle aus und erlangte so Privilegien für eine erfolgreiche Persistenz auf dem Computer des Opfers. Die Malware initiierte daraufhin den Start einer Backdoor, die mit einem legitimen Windows-Element entwickelt wurde und auf allen Computern dieses Betriebssystems vorhanden ist: das Scripting-Framework Windows PowerShell. Dadurch konnten die Angreifer unentdeckt bleiben und erhielten Zeit, für das Schreiben des Codes für bösartige Tools. Die Malware lud sodann eine weitere Backdoor von einem beliebten, legitimen Text-Storage-Service herunter, die den Cyberkriminellen die vollständige Kontrolle über das infizierte System gab.

„Bei diesem Angriff sehen wir zwei Trends, die wir häufig bei Advanced Persistent Threats (APTs) sehen“, erklärt Anton Ivanov, Sicherheitsexperte bei Kaspersky Lab. „Erstens, die Verwendung lokaler Exploits zur Privilegien-Erweiterung, um auf dem Computer des Opfers zu bleiben. Zweitens die Verwendung legitimer Frameworks wie Windows PowerShell für bösartige Zwecke auf dem Computer des Opfers. Diese Kombination gibt den Bedrohungsakteuren die Möglichkeit, Standard-Sicherheitslösungen zu umgehen. Um solche Techniken erfolgreich zu erkennen, muss eine Sicherheitslösung Exploit-Prevention- und Verhaltenserkennungstechnologien verwenden.“

Kaspersky-Sicherheitsempfehlungen

Um die Installation von Backdoors aufgrund von Zero-Day-Schwachstellen von Windows zu verhindern, empfiehlt Kaspersky Lab die folgenden Sicherheitsmaßnahmen:

Verfügbare Patches von Microsoft für die neue Schwachstelle [2] sowie für sämtliche verwendete Software umgehend installieren. Erweiterte Sicherheitsprodukte mit Schwachstellenanalyse und Patch-Management-Funktion können solche Prozesse automatisieren.
Eine umfassende Sicherheitslösung mit verhaltensbasierten Erkennungsfunktionen wie Kaspersky Endpoint Security for Business [3] verwenden, um auch vor unbekannten Bedrohungen sicher zu sein.
Das Sicherheitsteam sollte stets Zugriff auf die neuesten Cyberbedrohungsinformationen haben. Den Kunden von Kaspersky Intelligence Reporting [4] stehen private Berichte über die neuesten Entwicklungen in der Bedrohungslandschaft zur Verfügung.
Mitarbeiter in den Grundlagen der Cybersecurity-Hygiene schulen.

Die Schwachstelle wurde am 10. April 2019 an Microsoft gemeldet und beseitigt. Kaspersky-Produkte erkannten den Exploit als:

HEUR: Exploit.Win32.Generic
HEUR: Trojan.Win32.Generic
PDM: Exploit.Win32.Generic

Weitere Informationen zum neuen Exploit sind verfügbar unter https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/. Darüber hinaus sind Details zu den Kaspersky-Erkennungs-Tools und dem Exploit im aufgezeichneten Webinar zu finden https://www.brighttalk.com/webcast/15591/348704

^[1]https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/

^[2]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0859

^[3]https://www.kaspersky.de/enterprise-security/endpoint-product

^[4]Für weitere Informationen bitte an intelreports@kaspersky.com wenden

Nützliche Links:

Kaspersky-Bericht zum Exploit: https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/
Kaspersky Endpoint Security for Business: https://www.kaspersky.de/enterprise-security/endpoint-product
Kaspersky APT Intelligence Reporting: https://www.kaspersky.de/enterprise-security/apt-intelligence-reporting

Über Kaspersky Lab

Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das seit über 20 Jahren auf dem Markt tätig ist. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für Next Generation Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung vor komplexen und aufkommenden Cyberbedrohungen. Mehr als 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt.

Weitere Informationen zu Kaspersky Lab finden Sie unterhttp://www.kaspersky.com/de/.Kurzinformationen erhalten Sie zudem überwww.twitter.com/Kaspersky_DACHundwww.facebook.com/Kaspersky.Lab.DACH.Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unterhttps://de.securelist.com/und auf dem Kaspersky-Blog aufhttp://blog.kaspersky.de/abrufbar.

Redaktionskontakt:

Berkeley Kommunikation GmbH                    Kaspersky Labs GmbH
Florian Schafroth                                                Anne Mickler
florian.schafroth@berkeleypr.com               anne.mickler@kaspersky.com
Tel.: +49-89-7472-62-43                                Tel.: +49-841-98-189-322
Fax: +49-89-7472-62-17                                 Despag-Straße 3
Landwehrstraße 61                                           85055 Ingolstadt
80336 München

© 2019 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein.

Kaspersky Lab entdeckt kritische Schwachstelle im Windows-Betriebssystem

Zero-Day-Exploit: Infektionsablauf

Kaspersky-Sicherheitsempfehlungen

Nützliche Links:

Kaspersky Lab entdeckt kritische Schwachstelle im Windows-Betriebssystem

Über Kaspersky

Verwandter Artikel Pressemitteilungen

Kaspersky-Prognosen für ICS-Sicherheit: Mehr Supply-Chain-Angriffe und KI-Einsatz durch Cyberkriminelle

Cybersicherheitstrends 2026: KI-gestützte Angriffe und Verteidigungsmethoden

Digitale Sicherheit wird zur Alltagskompetenz: 93 Prozent nutzen Sicherheitslösungen

Kaspersky-Analyse: Cyberkriminelle wenden sich von Telegram ab

Eine halbe Million schädliche Dateien täglich in 2025 – entdeckt durch Kaspersky

Test von AV-Comparatives: Kaspersky Premium glänzt mit 99 Prozent Malware-Schutzrate und Spitzenwert

Schatten-Jobmarkt im Dark Web: Reverse Engineers erzielen über 5.000 US-Dollar

Neues Botnetz bedroht Windows-Nutzer

Ransomware in der Fertigung: 3,8 Milliarden Euro an Stillstandskosten in Europa

Kaspersky erneut nach Informationssicherheitsstandard ISO/IEC 27001:2022 zertifiziert