{"id":26918,"date":"2021-06-10T15:48:25","date_gmt":"2021-06-10T13:48:25","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26918"},"modified":"2021-06-10T15:48:25","modified_gmt":"2021-06-10T13:48:25","slug":"chrome-windows-zero-day","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/chrome-windows-zero-day\/26918\/","title":{"rendered":"PuzzleMaker: Zielgerichtete Cyberangriffe gegen mehrere Unternehmen"},"content":{"rendered":"

Technologien f\u00fcr verhaltensbasierte Bedrohungserkennung und Exploit-Pr\u00e4vention von Kaspersky Endpoint Security for Business<\/a>, haben eine neue Welle von hochgradig zielgerichteten Exploit-Angriffen gegen mehrere Unternehmen entlarvt. F\u00fcr diese Angriffe wurde eine Kette von Zero-Day-Exploits der Schwachstellen im Webbrowser Google Chrome und in Microsoft Windows verwendet. Inzwischen wurden Patches f\u00fcr die Schwachstellen bereitgestellt (Microsoft ver\u00f6ffentlichte am 8. Juni eine Aktualisierung). Aus diesem Grund ist es empfehlenswert sowohl den Browser als auch das Betriebssystem so schnell wie m\u00f6glich zu aktualisieren. Da noch nicht klar ist, wer genau hinter den Angriffen steckt, haben wir die Bedrohungsakteure PuzzleMaker genannt.<\/p>\n

Warum sind die Angriffe von PuzzleMaker besonders gef\u00e4hrlich?<\/h2>\n

Die Angreifer nutzen eine Sicherheitsl\u00fccke in Google Chrome aus, um b\u00f6sartigen Code auf dem Zielger\u00e4t auszuf\u00fchren. Danach machen die Cyberverbrecher sich zwei Sicherheitsl\u00fccken in Windows 10 zunutze, um die Sandbox zu umgehen und Systemprivilegien zu erhalten. Diese Art von Angriffsmethode wird als Sandbox-Escape<\/a> bezeichnet. Nach der Ausnutzung der Exploits wird ein sogenanntes Stager-Modul auf das Zielsystem hochgeladen, zusammen mit einem ma\u00dfgeschneiderten Konfigurationsblock (Adresse des Kommandoservers, Session-ID, Entschl\u00fcsselungsschl\u00fcssel f\u00fcr das n\u00e4chste Modul usw.).<\/p>\n

Das Stager-Modul informiert die Angreifer \u00fcber die erfolgreiche Infizierung. Dann wird ein Dropper-Modul<\/a> heruntergeladen und entschl\u00fcsselt. Der Dropper installiert zwei ausf\u00fchrbare Dateien, die als legitime Dateien des Microsoft Windows-Betriebssystems getarnt sind. Die erste Datei WmiPrvMon.ex\u0435 wird als Service registriert und f\u00fchrt die zweite Datei wmimon.dll. aus. Bei der zweiten ausf\u00fchrbaren Datei in Form eines Remote-Shell-Moduls handelt es sich um die wichtigste Payload<\/a>.<\/p>\n

Mit dieser Shell haben die Angreifer die komplette Kontrolle \u00fcber das Zielsystem. Sie k\u00f6nnen Dateien herunter- und hochladen, Prozesse erstellen, f\u00fcr eine bestimmte Zeit inaktiv bleiben und sogar s\u00e4mtliche digitalen Fu\u00dfabdr\u00fccke des Angriffs im infizierten System l\u00f6schen. Diese Malware-Komponente kommuniziert mit dem Kommandoserver \u00fcber eine verschl\u00fcsselte Verbindung.<\/p>\n

Welche Exploits und Sicherheitsl\u00fccken wurden verwendet?<\/h2>\n

Leider konnten unsere Experten den von PuzzleMaker verwendeten Code f\u00fcr den Remote-Execution-Exploit<\/a>, der f\u00fcr den Angriff auf Google Chrome genutzt wurde, nicht analysieren. Durch eine gr\u00fcndliche Untersuchung konnte aber festgestellt werden, dass die Angreifer h\u00f6chstwahrscheinlich die inzwischen gepatchte Sicherheitsl\u00fccke CVE-2021-21224<\/a> daf\u00fcr ausnutzten. Wenn Sie die Details interessieren, wie die Cybersicherheitsexperten zu dieser Schlussfolgerung kamen, empfehlen wir Ihnen einen Blick auf unseren Post in der Securelist<\/a> zu werfen. Google ver\u00f6ffentlichte den Patch f\u00fcr diese Schwachstelle am 20. April 2021\u00a0\u2013 nur ein paar Tage nachdem die Angriffswelle entdeckt wurde.<\/p>\n

F\u00fcr den Exploit zur Erh\u00f6hung von Berechtigungen (Elevation of Privilege) werden gleich zwei Schwachstellen in Windows 10 genutzt. Die erste Sicherheitsl\u00fccke CVE-2021-31955<\/a> ist eine Information-Disclosure-Schwachstelle, die sich in der Datei ntoskrnl.exe. befindet. Damit konnten die Adressen der Kernel-EPROCESS-Struktur f\u00fcr die ausgef\u00fchrten Vorg\u00e4nge festgestellt werden. Die zweite Sicherheitsl\u00fccke CVE-2021-31956<\/a> befindet sich im ntfs.sys-Driver und z\u00e4hlt zu den Heap-Overflow-Schwachstellen<\/a>. Die Cyberverbrecher nutzten die Schwachstelle zusammen mit Windows Notification Facility (WNF), um beliebige Daten im Speicher einzugeben und zu lesen. Dieser Exploit funktioniert auf den meisten herk\u00f6mmlichen Windows 10 Builds: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) und 19042 (20H2). Build 19043 (21H1) ist auch anf\u00e4llig. Trotzdem haben unsere Technologien bis jetzt keine Angriffe auf diese Version entdeckt, eine Version die herausgegeben wurde, nachdem wir PuzzleMaker entdeckt haben. Auf der Kaspersky-Cybersicherheitsseite Securelist wurde ein Post mit detaillierten technischen Informationen ver\u00f6ffentlicht<\/a>, einschlie\u00dflich einer Liste mit Kompromittierungsindikatoren (Indicators of Compromise, IoC).<\/p>\n

So sch\u00fctzen Sie sich vor diesem und \u00e4hnlichen Angriffen<\/h2>\n

Um Ihr Unternehmen vor Exploits zu sch\u00fctzen, die in den PuzzleMaker-Angriffen verwendet werden, aktualisieren Sie umgehend Chrome und installieren Sie (\u00fcber die Website von<\/a> Microsoft<\/a>) die Patches f\u00fcr das Betriebssystem, die die Schwachstellen CVE-2021-31955 und CVE-2021-31956 beheben.<\/p>\n

Abgesehen von diesen Sofortma\u00dfnahmen ist es f\u00fcr jegliche Art von Unternehmen und Organisation wichtig, \u00fcber zuverl\u00e4ssige Cybersicherheitsprodukte zu verf\u00fcgen, die Exploits von Zero-Day-Schwachstellen erfolgreich abwehren k\u00f6nnen, indem u.\u00a0a. verd\u00e4chtige T\u00e4tigkeiten analysiert werden. Beispielsweise kann diese Art von Angriff mit Kaspersky Endpoint Security for Business<\/a> entdeckt werden, weil diese L\u00f6sung Technologien wie Behavioral Detection Engine und Exploit-Pr\u00e4vention umfasst.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Unsere Technologien haben gezielte Angriffe entdeckt, darunter einige Zero-Day-Exploits.<\/p>\n","protected":false},"author":700,"featured_media":26919,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[36,685,1498,382,33],"class_list":{"0":"post-26918","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-chrome","11":"tag-exploits","12":"tag-schwachstellen","13":"tag-sicherheitslucken","14":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chrome-windows-zero-day\/26918\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-windows-zero-day\/22945\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-windows-zero-day\/18438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/chrome-windows-zero-day\/24889\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-windows-zero-day\/22882\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-windows-zero-day\/22099\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chrome-windows-zero-day\/25457\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chrome-windows-zero-day\/24893\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-windows-zero-day\/30891\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chrome-windows-zero-day\/9728\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-windows-zero-day\/40191\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-windows-zero-day\/17104\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chrome-windows-zero-day\/17609\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/chrome-windows-zero-day\/14905\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/chrome-windows-zero-day\/31022\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/chrome-windows-zero-day\/27149\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/chrome-windows-zero-day\/24006\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-windows-zero-day\/29322\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-windows-zero-day\/29126\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=26918"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26918\/revisions"}],"predecessor-version":[{"id":26920,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26918\/revisions\/26920"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/26919"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=26918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=26918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=26918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}