{"id":19034,"date":"2019-04-15T13:22:17","date_gmt":"2019-04-15T11:22:17","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19034"},"modified":"2019-11-22T12:07:23","modified_gmt":"2019-11-22T10:07:23","slug":"cve-2019-0859-detected","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/cve-2019-0859-detected\/19034\/","title":{"rendered":"CVE-2019-0859: Zero-Day-Schwachstelle in Windows"},"content":{"rendered":"

Anfang M\u00e4rz haben unsere proaktiven Sicherheitstechnologien den Versuch eines weiteren Schwachstellen-Exploits in Microsoft Windows entdeckt. Die Analyse ergab eine Zero-Day-Schwachstelle in win32k.sys; bislang konnten bereits ganze viermal \u00e4hnliche Sicherheitl\u00fccken in der Datei entdeckt werden. Wir haben den Entwickler selbstverst\u00e4ndlich \u00fcber das Problem informiert und die Schwachstellte wurde mit einem am 10. April ver\u00f6ffentlichten Patch<\/a> behoben.<\/p>\n

Worum geht es?<\/h2>\n

Bei CVE-2019-0859 handelt es sich um eine Use-After-Free<\/a>-Schwachstelle in der Systemfunktion, die verf\u00fcgbare Dialogfenster, genauer gesagt deren erg\u00e4nzende Stile, handhabt. Das gefundene ITW-Exploit-Muster (In The Wild<\/a>) hatte alle 64-Bit-Betriebssystemversionen von Windows 7 bis zu den neuesten Builds von Windows 10 im Visier. Durch den Exploit der Schwachstelle kann die Malware ein von den Angreifern geschriebenes Skript herunterladen und ausf\u00fchren, was im Worst-Case-Szenario zu einer vollst\u00e4ndigen Kontrolle \u00fcber das infizierte Ger\u00e4t f\u00fchren kann.<\/p>\n

Eine bislang nicht identifizierte kriminelle APT-Gruppe konnte unter Verwendung der Schwachstellte ausreichende Privilegien erlangen, um eine mit Windows PowerShell erstellte Backdoor zu installieren. Theoretisch sollte es den Cyberkriminellen auf diese Weise erm\u00f6glicht werden, unentdeckt zu bleiben. \u00dcber die Backdoor wurde die Nutzlast heruntergeladen, mit deren Hilfe die Cyberkriminellen dann die vollst\u00e4ndige Kontrolle \u00fcber den infizierten Rechner erlangen konnten. F\u00fcr weitere Details zur Funktionsweise des Exploits, steht Ihnen dieser Bericht auf Securelist<\/a> zur Verf\u00fcgung.<\/p>\n

So sch\u00fctzen Sie sich<\/h3>\n

Um die Installation von Backdoors aufgrund von Zero-Day Schwachstellen\u00a0von Windows zu verhindern, empfehlen wir folgende Sicherheitsma\u00dfnahmen:<\/p>\n