Unsere Technologien haben k\u00fcrzlich einen Angriff auf ein s\u00fcdkoreanisches Unternehmen verhindert. Das ist ein ganz normaler Mittwoch, k\u00f6nnte man sagen, aber bei der Analyse der Angriffstools der Cyberkriminellen entdeckten unsere Experten ganze zwei Zero-Day-Schwachstellen. Die erste fanden sie in der JavaScript-Engine von Internet Explorer 11. Diese erlaubte eine Remote-Ausf\u00fchrung von beliebigen Codes seitens der Angreifer. Die zweite Schwachstelle wurde in einem Systemdienst entdeckt, die den Angreifern eine sogenannte Privilegien-Eskalation erm\u00f6glichte, bei der Systemrechte erweitert werden und dadurch unautorisierte Aktionen ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n
Die Ausnutzung dieser Schwachstellen erfolgte im Tandem. Zuerst wurde dem Opfer ein b\u00f6sartiges Skript zugespielt, das durch eine L\u00fccke in Internet Explorer 11 ausgef\u00fchrt werden konnte. Anhand der Systemdienst-Schwachstelle wurden dann die Privilegien des b\u00f6sartigen Prozesses erweitert. Infolgedessen konnten die Angreifer die Kontrolle \u00fcber das System \u00fcbernehmen. Ihr Ziel war es, die Computer mehrerer Mitarbeiter zu kompromittieren und in das interne Netzwerk der Organisation einzudringen.<\/p>\n
Unsere Experten haben diese b\u00f6swillige Angriffskampagne als Operation PowerFall bezeichnet. Bislang haben die Forscher keine eindeutige Verbindung zwischen diesem Angriff und bekannten Akteuren festgestellt. Angesichts der Exploit-\u00c4hnlichkeiten schlie\u00dfen sie jedoch eine Beteiligung von DarkHotel<\/a> nicht aus.<\/p>\n Als unsere Forscher Microsoft \u00fcber ihre Ergebnisse informierten, erkl\u00e4rte das Unternehmen, dass es bereits \u00fcber die zweite Schwachstelle (im Systemdienst) in Kenntnis sei und auch einen Patch daf\u00fcr erstellt hat. Als wir sie aber \u00fcber die erste Schwachstelle (im IE11) informierten, hielten sie eine Ausnutzung der Schwachstelle f\u00fcr unwahrscheinlich.<\/p>\n Die erste Schwachstelle befindet sich in der Library jscript9.dll, die alle Versionen von Internet Explorer seit IE9 standardm\u00e4\u00dfig verwenden. Mit anderen Worten: Der Exploit f\u00fcr diese Schwachstelle ist f\u00fcr moderne Versionen des Browsers gef\u00e4hrlich. (\u201eModern\u201c ist vielleicht ein leichte Fehlbezeichnung, wenn man bedenkt, dass Microsoft die Entwicklung von Internet Explorer nach der Ver\u00f6ffentlichung von Edge mit Windows 10 eingestellt hat). Aber zusammen mit Edge ist der Internet Explorer in den neuesten Windows-Versionen nach wie vor standardm\u00e4\u00dfig installiert und er bleibt eine wichtige Komponente des Betriebssystems.<\/p>\n Selbst wenn Sie den Internet Explorer nicht freiwillig verwenden und dieser nicht Ihr Standardbrowser ist, bedeutet das nicht, dass Ihr System nicht durch einen IE-Exploit infiziert werden kann, da einige Anwendungen den Internet Explorer weiterhin verwenden. Nehmen Sie zum Beispiel Microsoft Office: Es verwendet den IE zur Anzeige von Videoinhalten in Dokumenten. Cyberkriminelle k\u00f6nnen den Internet Explorer auch \u00fcber andere Schwachstellen aufrufen und ausnutzen.<\/p>\n Die Schwachstelle CVE-2020-1380 geh\u00f6rt zu den Use-After-Free<\/a>-Exploits, die die fehlerhafte Verwendung des dynamischem Speicher ausnutzen. Eine detaillierte technische Beschreibung des Exploits mit Kompromittierungsindikatoren k\u00f6nnen Sie im Beitrag \u201eInternet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall\u201c<\/a> auf Securelist nachlesen.<\/p>\n Microsoft ver\u00f6ffentlichte am 9. Juni 2020 einen Patch f\u00fcr CVE-2020-0986<\/a> (im Windows-Kernel). Die zweite Schwachstelle, CVE-2020-1380, wurde am 11. August gepatcht<\/a>. Wenn Sie Ihre Betriebssysteme regelm\u00e4\u00dfig aktualisieren, sollten sie bereits gegen Angriffe vom Typ Operation PowerFall gesch\u00fctzt sein.<\/p>\nWelche Gefahr geht von CVE-2020-1380 aus?<\/h2>\n
Wie Sie sich sch\u00fctzen k\u00f6nnen<\/h2>\n