CVE-2019-0797: neuer Zero-Day-Exploit

14 Mrz 2019

Auch auf die Gefahr hin, monoton zu wirken, fühlen wir uns dazu verpflichtet Ihnen aufgrund der gegebenen Umstände mitzuteilen, dass unsere proaktiven Technologien lediglich drei Monate nach der letzten Zero-Day-Schwachstelle einen weiteren Windows-Exploit entdeckt haben. In diesem Fall betrifft die Schwachstelle weitaus mehr Versionen des Betriebssystems: in der Gefahrenzone befinden sich 64-Bit-Windows 8 und 10 (bis Build 15063). Selbstverständlich haben wir Microsoft ordnungsgemäß benachrichtigt; ein Patch wurde daraufhin in einem Systemupdate vom 12. März integriert.

Trotz der kontinuierlichen Veröffentlichung von Updates für aktuelle Versionen haben viele Nutzer scheinbar kein Interesse daran, diese zu installieren. Den Ansatz „abwarten, Tee trinken und sehen, was bei anderen passiert“ können wir unter keinen Umständen weiterempfehlen.

Was ist CVE-2019-0797?

CVE-2019-0797 ist bereits der vierte Privilegien-Eskalations-Exploit, der kürzlich von unseren Systemen entdeckt wurde. Wie auch im Fall CVE-2018-8589, handelt es sich dabei um einen Race-Condition-Fehler im win32k.sys-Treiber (weitere technische Details finden Sie auf Securelist). Uns sind bereits einige zielgerichtete Angriffe bekannt, die den Exploit, der Eindringlingen möglicherweise die vollständige Kontrolle über das anfällige System gewährt, ausnutzten.

So vermeiden Sie Probleme

Wie zuvor, empfehlen wir Ihnen:

  • Das entsprechende Systemupdate (verfügbar auf der Website von Microsoft) unverzüglich zu installieren;
  • Ihre Software regelmäßig auf die neueste Version zu aktualisieren;
  • Eine zuverlässige Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien zu installieren.

Die zur Erkennung des Exploits verwendeten Technologien (Advanced Sandboxing, Anti Targeted Attack, Behavioral Detection Engine, Automatic Exploit Prevention) werden in unserer Lösung Kaspersky Security for Business eingesetzt.