{"id":27564,"date":"2021-10-18T09:10:07","date_gmt":"2021-10-18T07:10:07","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27564"},"modified":"2021-10-18T09:10:07","modified_gmt":"2021-10-18T07:10:07","slug":"mysterysnail-cve-2021-40449","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/mysterysnail-cve-2021-40449\/27564\/","title":{"rendered":"MysterySnail kriecht durch Zero-Day-L\u00fccke"},"content":{"rendered":"<p>Unsere Behavioral Detection Engine und Technologien f\u00fcr Exploit-Pr\u00e4vention haben vor Kurzem den Exploit einer Schwachstelle im Windows-Kerneltreiber Win32k entdeckt. Darauf folgte eine Ermittlung der kriminellen Aktivit\u00e4ten, die hinter diesem Exploit stecken. Wir haben Microsoft \u00fcber die Schwachstelle <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-40449<\/a> in Kenntnis gesetzt und das Unternehmen hat am Patch-Dienstag, den 12. Oktober ein Update ver\u00f6ffentlicht, das einen Bugfix f\u00fcr diesen Softwarefehler enth\u00e4lt. Aus diesem Grund empfehlen wir, wie immer am Microsoft-Patchday, das <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">Update f\u00fcr Windows<\/a> zeitnah einzuspielen.<\/p>\n<h2>Wof\u00fcr CVE-2021-40449 ausgenutzt wurde<\/h2>\n<p>CVE-2021-40449 ist eine <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/\" target=\"_blank\" rel=\"noopener\">Use-After-Free-Schwachstelle<\/a>, die sich in der NtGdiResetDC-Funktion des Win32k-Treibers befindet. Eine detaillierte Beschreibung finden Sie auf der <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>. Kurz gefasst, kann die Schwachstelle zu einem Leak der Kernelmodul-Adressen im Computerspeicher f\u00fchren. Cyberkriminelle verschaffen sich durch das Leak h\u00f6here Nutzerrechte, die dann bei einem weiteren sch\u00e4dlichen Prozess eingesetzt werden.<\/p>\n<p>Durch die Rechteerweiterung war es den Angreifern m\u00f6glich MysterySnail herunterzuladen und auszuf\u00fchren. MysterySnail ist ein <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/rat-remote-access-tools\/\" target=\"_blank\" rel=\"noopener\">Remote Access Trojaner (abgek\u00fcrzt RAT)<\/a>, also eine Schadsoftware, die unbemerkte Fernsteuerung und administrative Kontrolle eines fremden Rechners erm\u00f6glicht.<\/p>\n<h2>F\u00e4higkeiten von MysterySnail<\/h2>\n<p>Der Trojaner beginnt Informationen im infizierten System zu sammeln, die dann an einen Command-and-Control-Server gesendet werden. Au\u00dferdem ist es m\u00f6glich einige Befehle \u00fcber MysterySnail auszuf\u00fchren. Die Angreifer k\u00f6nnen beispielsweise spezifische Dateien erstellen, lesen oder l\u00f6schen, einen Prozess erstellen oder l\u00f6schen, eine Verzeichnisliste erhalten oder einen Proxy-Kanal zum Versenden von Daten \u00f6ffnen.<\/p>\n<p>Zu den weiteren Features von MysterySnail z\u00e4hlen u. A. die F\u00e4higkeiten die Liste mit den verbundenen Laufwerken einzusehen und die Verbindung mit externen Laufwerken im Hintergrund zu \u00fcberwachen. Au\u00dferdem kann der Trojaner die interaktive Shell cmd.exe starten (indem die cmd.exe-Datei unter einem anderen Namen in einen tempor\u00e4ren Ordner kopiert wird).<\/p>\n<h2>Angriffe \u00fcber CVE-2021-40449<\/h2>\n<p>Die Exploits dieser Schwachstelle betreffen eine Reihe an Betriebssystemen der Microsoft Windows-Familie: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (Build 14393), Server 2016 (Build 14393), 10 (Build 17763) und Server 2019 (Build 17763). Laut unseren Experten wird der Exploit besonders f\u00fcr die Rechteerweiterung auf den Server-Versionen des Betriebssystems verwendet.<\/p>\n<p>Nach der Entdeckung der Bedrohung konnten unsere Experten feststellen, dass der Exploit, \u00fcber den die MysterySnail-Malware heruntergeladen wird, f\u00fcr Spionage-Kampagnen gegen IT-Unternehmen, diplomatische Einrichtungen und Milit\u00e4r- sowie Verteidigungsorganisationen eingesetzt wird.<\/p>\n<p>Dank dem Malware-Analysetool Kaspersky Threat Attribution Engine entdeckten unsere Experten \u00c4hnlichkeiten im Code sowie der Funktionsweise zwischen MysterySnail und der Malware, die von der IronHusky-Gruppe angewendet wird. Des Weiteren wurden 2012 einige der C&amp;C-Server-Adressen von einer chinesischsprachigen APT-Gruppe verwendet.<\/p>\n<p>In unserem <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">Securelist-Artikel<\/a> finden Sie weitere Informationen, einschlie\u00dflich der Gef\u00e4hrdungsindikatoren des Hackangriffs.<\/p>\n<h2>So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n<p>Installieren Sie zuerst das aktuelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">Sicherheitsupdate von Microsoft<\/a> mit den Patches f\u00fcr diese Schwachstelle. Au\u00dferdem ist es empfehlenswert eine robuste Sicherheitsl\u00f6sung auf Ihren Ger\u00e4ten zu verwenden, die den Exploit von Schwachstellen auf Computern mit Internetzugang proaktiv erkennt und abwehrt, um sich vor zuk\u00fcnftigen Zero-Day-Schwachstellen zu sch\u00fctzen. Unsere Behavioral Detection Engine und Technologien f\u00fcr Exploit-Pr\u00e4vention, die in der Schutzl\u00f6sung <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a> enthalten sind, erkennen CVE-2021-40449.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Unsere Technologien haben den Exploit einer bisher unbekannten Schwachstelle im Win32k-Treiber entdeckt.<\/p>\n","protected":false},"author":2581,"featured_media":27565,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[685,1871,1498,382,257,33],"class_list":{"0":"post-27564","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exploits","11":"tag-rat","12":"tag-schwachstellen","13":"tag-sicherheitslucken","14":"tag-trojaner","15":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mysterysnail-cve-2021-40449\/27564\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mysterysnail-cve-2021-40449\/23490\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/18967\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/9499\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/25567\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mysterysnail-cve-2021-40449\/23639\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/23102\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mysterysnail-cve-2021-40449\/26246\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mysterysnail-cve-2021-40449\/25784\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mysterysnail-cve-2021-40449\/31702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mysterysnail-cve-2021-40449\/10158\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/42448\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mysterysnail-cve-2021-40449\/18275\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mysterysnail-cve-2021-40449\/15406\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mysterysnail-cve-2021-40449\/31798\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mysterysnail-cve-2021-40449\/27720\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mysterysnail-cve-2021-40449\/24480\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mysterysnail-cve-2021-40449\/29842\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mysterysnail-cve-2021-40449\/29640\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27564"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27564\/revisions"}],"predecessor-version":[{"id":27566,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27564\/revisions\/27566"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27565"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}