CVE-2019-0859: Zero-Day-Schwachstelle in Windows

15 Apr 2019

Anfang März haben unsere proaktiven Sicherheitstechnologien den Versuch eines weiteren Schwachstellen-Exploits in Microsoft Windows entdeckt. Die Analyse ergab eine Zero-Day-Schwachstelle in win32k.sys; bislang konnten bereits ganze viermal ähnliche Sicherheitlücken in der Datei entdeckt werden. Wir haben den Entwickler selbstverständlich über das Problem informiert und die Schwachstellte wurde mit einem am 10. April veröffentlichten Patch behoben.

Worum geht es?

Bei CVE-2019-0859 handelt es sich um eine Use-After-Free-Schwachstelle in der Systemfunktion, die verfügbare Dialogfenster, genauer gesagt deren ergänzende Stile, handhabt. Das gefundene ITW-Exploit-Muster (In The Wild) hatte alle 64-Bit-Betriebssystemversionen von Windows 7 bis zu den neuesten Builds von Windows 10 im Visier. Durch den Exploit der Schwachstelle kann die Malware ein von den Angreifern geschriebenes Skript herunterladen und ausführen, was im Worst-Case-Szenario zu einer vollständigen Kontrolle über das infizierte Gerät führen kann.

Eine bislang nicht identifizierte kriminelle APT-Gruppe konnte unter Verwendung der Schwachstellte ausreichende Privilegien erlangen, um eine mit Windows PowerShell erstellte Backdoor zu installieren. Theoretisch sollte es den Cyberkriminellen auf diese Weise ermöglicht werden, unentdeckt zu bleiben. Über die Backdoor wurde die Nutzlast heruntergeladen, mit deren Hilfe die Cyberkriminellen dann die vollständige Kontrolle über den infizierten Rechner erlangen konnten. Für weitere Details zur Funktionsweise des Exploits, steht Ihnen dieser Bericht auf Securelist zur Verfügung.

So schützen Sie sich

Um die Installation von Backdoors aufgrund von Zero-Day Schwachstellen von Windows zu verhindern, empfehlen wir folgende Sicherheitsmaßnahmen:

  • Installieren Sie das von Microsoft zur Verfügung gestellte Update, um die Schwachstelle zu schließen.
  • Aktualisieren Sie die in Ihrem Unternehmen verwendete Software, insbesondere Betriebssysteme, regelmäßig.
  • Verwenden Sie Sicherheitslösungen mit verhaltensbasierten Erkennungsfunktionen, die in der Lage sind, (noch) unbekannte Bedrohungen aufzuspüren.

Der Exploit für die Schwachstelle CVE-2019-0859 wurde ursprünglich mithilfe unserer Engine zur Verhaltenserkennung sowie den automatisierten Exploit-Präventionstechnologien identifiziert, die Teil unserer Lösung  Kaspersky Endpoint Security for Business sind.

Sollten Ihre Administratoren oder Ihr Team für Informationssicherheit ein tieferes Verständnis bezüglich der für die Erkennung von Microsoft-Zero-Day-Bedrohungen angewandten Methoden benötigen, empfehlen wir Ihnen die Aufzeichnung unseres Webinars „Windows zero-days in three months: How we found them in the wild„.