{"id":20442,"date":"2019-11-05T15:02:21","date_gmt":"2019-11-05T13:02:21","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=20442"},"modified":"2022-05-05T14:21:06","modified_gmt":"2022-05-05T12:21:06","slug":"google-chrome-zeroday-wizardopium","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/google-chrome-zeroday-wizardopium\/20442\/","title":{"rendered":"Google Chrome: Zielscheibe von Zero-Day-Angriffen"},"content":{"rendered":"<p>Dank des integrierten Subsystems unserer Produkte, <em>Kaspersky Exploit Prevention, <\/em>konnten wir k\u00fcrzlich einen <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/exploit\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">Exploit<\/a> entdecken, mit dem Angreifer \u00fcber eine Sicherheitsanf\u00e4lligkeit im Google-Chrome-Browser unbefugten Zugriff auf den Computer ihrer Opfer erhalten. Zunutze machte sich dieser Exploit eine Zero-Day-Schwachstelle, die den Entwicklern bislang unbekannt war. Der Sicherheitsl\u00fccke wurde die Kennung CVE-2019-13720 zugeordnet.<\/p>\n<p>Selbstverst\u00e4ndlich haben wir Google unverz\u00fcglich \u00fcber die Schwachstelle unterrichtet, die mit dem j\u00fcngsten <a href=\"https:\/\/chromereleases.googleblog.com\/2019\/10\/stable-channel-update-for-desktop_31.html\" target=\"_blank\" rel=\"noopener nofollow\">Chrome-Update<\/a> gepatcht wurde. Im Anschluss erkl\u00e4ren wir Ihnen kurz, was hinter diesem Angriff steckt.<\/p>\n<h2>WizardOpium: Schlechte Nachrichten in Korea<\/h2>\n<p>Die Angriffe, die wir auf den Namen <em>Operation WizardOpium<\/em> getauft haben, begannen auf einer koreanischen Nachrichtenseite, auf der die Angreifer b\u00f6sartigen Code injizierten. Dieser ist f\u00fcr die Ausf\u00fchrung eines Skripts einer Drittanbieterseite verantwortlich, um die Eignung des Systems f\u00fcr den Angriff und die Browser-Version des Opfers zu \u00fcberpr\u00fcfen (die Cyberkriminellen interessieren sich ausschlie\u00dflich f\u00fcr Versionen von <em>Google Chrome f\u00fcr Windows,<\/em> die nicht \u00e4lter als Version 65 sind).<\/p>\n<p>Wenn Betriebssystem und Browser die Anforderungen erf\u00fcllen, l\u00e4dt das Skript St\u00fcck f\u00fcr St\u00fcck einen Exploit herunter, der anschlie\u00dfend erneut zusammengesetzt und entschl\u00fcsselt wird. Danach wird erneut die aktuell installierte Version von Google Chrome \u00fcberpr\u00fcft. An dieser Stelle angelangt, wird der Exploit zunehmend w\u00e4hlerischer und funktioniert ausschlie\u00dflich mit den Chrome-Versionen 76 oder 77. M\u00f6glicherweise enth\u00e4lt das Toolkit der Cyberkriminellen andere Exploits f\u00fcr weitere Versionen des Browsers, mit Sicherheit k\u00f6nnen wir dies allerdings derzeit noch nicht sagen.<\/p>\n<p>Nachdem der Exploit das gefunden hat, wonach er gesucht hat, versucht er, die <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">Use-After-Free<\/a>-Schwachstelle CVE-2019-13720 auszunutzen, die auf einer nicht ordnungsgem\u00e4\u00dfen Verwendung des Computerspeichers basiert. Durch die Manipulation des Speichers erh\u00e4lt der Exploit die Berechtigung zum Lesen und Schreiben von Daten auf das Ger\u00e4t, das daraufhin umgehend zum Download, Entschl\u00fcsseln und Ausf\u00fchren der Malware verwendet wird.<\/p>\n<p>Die Produkte von Kaspersky identifizieren den Exploit wie folgt: Exploit.Win32.Generic. Weitere technische Details finden Sie zudem in <a href=\"https:\/\/securelist.com\/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium\/94866\/\" target=\"_blank\" rel=\"noopener\">unserem Beitrag auf Securelist<\/a>.<\/p>\n<h3>Chrome-Update<\/h3>\n<p>Auch, wenn Sie kein Fan koreanischer Nachrichtenseiten sind, empfehlen wir Ihnen, Ihren Chrome-Browser umgehend auf die Version 78.0.3904.87 zu aktualisieren. Es gibt bereits einen Exploit der sein Unwesen in freier Wildbahn treibt; und er wird vermutlich nicht der einzige seiner Spezies bleiben.<\/p>\n<p>Google hat bereits ein Chrome-Update f\u00fcr Windows, macOS und Linux ver\u00f6ffentlicht. F\u00fcr gew\u00f6hnlich aktualisiert sich Chrome automatisch \u2013 ein Neustart des Browsers sollte also gen\u00fcgen.<\/p>\n<p>Dennoch sollten Sie auf Nummer sicher gehen und erneut \u00fcberpr\u00fcfen, ob das Update tats\u00e4chlich installiert wurde: Klicken Sie dazu auf die drei vertikalen Punkte in der Men\u00fcleiste oben rechts und w\u00e4hlen Sie den Unterpunkt \u201eHilfe\u201c \u2192\u00a0\u201e\u00dcber Google Chrome\u201c. Bei Versionen ab 78.0.3904.87 m\u00fcssen Sie sich keinerlei Gedanken machen. Verf\u00fcgen Sie \u00fcber eine \u00e4ltere Version, sucht Chrome automatisch nach verf\u00fcgbaren Updates. Angezeigt wird dies \u00fcber den kleinen rotierenden Kreis auf der linken Seite. Nachdem die Nummer der j\u00fcngstens Chrome-Version auf dem Bildschirm erscheint, sollten Sie den Browser neustarten.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Eine bereits ausgenutzte Chrome-Schwachstelle wurde gepatcht. Aktualisieren Sie also umgehend Ihren Browser! <\/p>\n","protected":false},"author":2706,"featured_media":20443,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[124,36,3119,685,39,1498,3414,686],"class_list":{"0":"post-20442","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-browser","10":"tag-chrome","11":"tag-cve","12":"tag-exploits","13":"tag-google","14":"tag-schwachstellen","15":"tag-wizardopium","16":"tag-zielgerichtete-attacken"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/google-chrome-zeroday-wizardopium\/20442\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/google-chrome-zeroday-wizardopium\/16856\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/google-chrome-zeroday-wizardopium\/14232\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/google-chrome-zeroday-wizardopium\/6568\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/google-chrome-zeroday-wizardopium\/18828\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/google-chrome-zeroday-wizardopium\/16875\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/google-chrome-zeroday-wizardopium\/15636\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/google-chrome-zeroday-wizardopium\/19560\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/google-chrome-zeroday-wizardopium\/18194\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/google-chrome-zeroday-wizardopium\/23925\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/google-chrome-zeroday-wizardopium\/6607\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/google-chrome-zeroday-wizardopium\/29126\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/google-chrome-zeroday-wizardopium\/12486\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/google-chrome-zeroday-wizardopium\/12501\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/google-chrome-zeroday-wizardopium\/11389\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/google-chrome-zeroday-wizardopium\/24413\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/google-chrome-zeroday-wizardopium\/24337\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/google-chrome-zeroday-wizardopium\/19299\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/google-chrome-zeroday-wizardopium\/23611\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/google-chrome-zeroday-wizardopium\/23459\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/chrome\/","name":"Chrome"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/20442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=20442"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/20442\/revisions"}],"predecessor-version":[{"id":20731,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/20442\/revisions\/20731"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/20443"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=20442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=20442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=20442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}