Schwachstellen

Operation PowerFall: Zero-Day-Exploits im Betriebssystem von Windows & im Internet Explorer

Unsere Technologien haben einen Angriff verhindert. Eine Expertenanalyse ergab den Exploit zweier bisher unbekannter Schwachstellen. Was Sie jetzt wissen müssen.

Hugh Aver
12 Aug 2020

Unsere Technologien haben kürzlich einen Angriff auf ein südkoreanisches Unternehmen verhindert. Das ist ein ganz normaler Mittwoch, könnte man sagen, aber bei der Analyse der Angriffstools der Cyberkriminellen entdeckten unsere Experten ganze zwei Zero-Day-Schwachstellen. Die erste fanden sie in der JavaScript-Engine von Internet Explorer 11. Diese erlaubte eine Remote-Ausführung von beliebigen Codes seitens der Angreifer. Die zweite Schwachstelle wurde in einem Systemdienst entdeckt, die den Angreifern eine sogenannte Privilegien-Eskalation ermöglichte, bei der Systemrechte erweitert werden und dadurch unautorisierte Aktionen ausgeführt werden können.

Die Ausnutzung dieser Schwachstellen erfolgte im Tandem. Zuerst wurde dem Opfer ein bösartiges Skript zugespielt, das durch eine Lücke in Internet Explorer 11 ausgeführt werden konnte. Anhand der Systemdienst-Schwachstelle wurden dann die Privilegien des bösartigen Prozesses erweitert. Infolgedessen konnten die Angreifer die Kontrolle über das System übernehmen. Ihr Ziel war es, die Computer mehrerer Mitarbeiter zu kompromittieren und in das interne Netzwerk der Organisation einzudringen.

Unsere Experten haben diese böswillige Angriffskampagne als Operation PowerFall bezeichnet. Bislang haben die Forscher keine eindeutige Verbindung zwischen diesem Angriff und bekannten Akteuren festgestellt. Angesichts der Exploit-Ähnlichkeiten schließen sie jedoch eine Beteiligung von DarkHotel nicht aus.

Als unsere Forscher Microsoft über ihre Ergebnisse informierten, erklärte das Unternehmen, dass es bereits über die zweite Schwachstelle (im Systemdienst) in Kenntnis sei und auch einen Patch dafür erstellt hat. Als wir sie aber über die erste Schwachstelle (im IE11) informierten, hielten sie eine Ausnutzung der Schwachstelle für unwahrscheinlich.

Welche Gefahr geht von CVE-2020-1380 aus?

Die erste Schwachstelle befindet sich in der Library jscript9.dll, die alle Versionen von Internet Explorer seit IE9 standardmäßig verwenden. Mit anderen Worten: Der Exploit für diese Schwachstelle ist für moderne Versionen des Browsers gefährlich. („Modern“ ist vielleicht ein leichte Fehlbezeichnung, wenn man bedenkt, dass Microsoft die Entwicklung von Internet Explorer nach der Veröffentlichung von Edge mit Windows 10 eingestellt hat). Aber zusammen mit Edge ist der Internet Explorer in den neuesten Windows-Versionen nach wie vor standardmäßig installiert und er bleibt eine wichtige Komponente des Betriebssystems.

Selbst wenn Sie den Internet Explorer nicht freiwillig verwenden und dieser nicht Ihr Standardbrowser ist, bedeutet das nicht, dass Ihr System nicht durch einen IE-Exploit infiziert werden kann, da einige Anwendungen den Internet Explorer weiterhin verwenden. Nehmen Sie zum Beispiel Microsoft Office: Es verwendet den IE zur Anzeige von Videoinhalten in Dokumenten. Cyberkriminelle können den Internet Explorer auch über andere Schwachstellen aufrufen und ausnutzen.

Die Schwachstelle CVE-2020-1380 gehört zu den Use-After-Free-Exploits, die die fehlerhafte Verwendung des dynamischem Speicher ausnutzen. Eine detaillierte technische Beschreibung des Exploits mit Kompromittierungsindikatoren können Sie im Beitrag „Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall“ auf Securelist nachlesen.

Wie Sie sich schützen können

Microsoft veröffentlichte am 9. Juni 2020 einen Patch für CVE-2020-0986 (im Windows-Kernel). Die zweite Schwachstelle, CVE-2020-1380, wurde am 11. August gepatcht. Wenn Sie Ihre Betriebssysteme regelmäßig aktualisieren, sollten sie bereits gegen Angriffe vom Typ Operation PowerFall geschützt sein.

Zero-Day-Schwachstellen tauchen jedoch immer wieder auf. Um die Sicherheit Ihres Unternehmens zu gewährleisten, müssen Sie eine Lösung mit Anti-Exploit-Technologien verwenden, wie z. B. Kaspersky Security for Business. Eine der Funktionskomponenten ist das Exploit Prevention-Subsystem, das Angriffsversuche, bei denen Zero-Day-Schwachstellen ausgenutzt werden, identifiziert und stoppt.

Darüber hinaus empfehlen wir die Verwendung moderner Browser, die regelmäßig Sicherheitsupdates erhalten.

DDoS-Sommerloch fällt 2020 aus: 217 Prozent mehr Angriffe im zweiten Quartal

In diesem Jahr gibt es – laut des aktuellen DDoS-Reports von Kaspersky – im zweiten Quartal statt des üblichen Rückgangs von DDoS-Angriffen einen bedeutenden Anstieg.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Operation PowerFall: Zero-Day-Exploits im Betriebssystem von Windows & im Internet Explorer

Welche Gefahr geht von CVE-2020-1380 aus?

Wie Sie sich schützen können

KeyTrap: Wie man einen DNS-Server mit einem einzigen Paket knacken kann

Hacken von Android, macOS, iOS und Linux über eine Bluetooth-Schwachstelle

DDoS-Sommerloch fällt 2020 aus: 217 Prozent mehr Angriffe im zweiten Quartal

Tipps

Werbung im Dienste von… Geheimdiensten

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie