Forscher sagen, dass Zero-Day-Schwachstellen, die in der jüngsten Patch-Dienstag-Runde von Microsoft behoben wurden, bei gezielten Angriffen gegen das Unternehmen verwendet wurden.
Laut Kaspersky wurde am 14. und 15. April 2021 eine Welle von “sehr gezielten Angriffen” auf mehrere Organisationen verfolgt, die eine Kette von Zero-Day-Exploits im Google Chrome-Browser und auf Microsoft Windows-Systemen nutzten.
Die Angreifer wurden PuzzleMaker genannt. Der erste Exploit in der Kette, obwohl nicht bestätigt, scheint CVE-2021-21224 zu sein, eine Verwirrungsschwachstelle vom Typ V8 im Google Chrome-Browser vor 90.0.4430.85.
Google hat am 20. April einen Patch für den schwerwiegenden Fehler veröffentlicht, der es Angreifern bei Ausnutzung ermöglichte, über eine präparierte HTML-Seite beliebigen Code in einer Sandbox auszuführen.
Sandboxes sind von Natur aus für Entwicklerumgebungen, Tests und Schutz gedacht und trennen daher Aktivitäten von einem Hauptsystem. Damit eine Exploit-Kette funktioniert, wäre dann ein Sandbox-Escape ein notwendiger nächster Schritt.
Laut den Forschern wurde diese Flucht in zwei Windows 10-Schwachstellen gefunden – beides Zero-Day-Bugs, die in Microsofts neuestem Patch Tuesday-Update gepatcht wurden.
Die erste, CVE-2021-31955, ist eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen im Windows-Kernel in der Datei ntoskrnl.exe, die verwendet wird, um die Adressen des Eprocess-Strukturkernels für ausgeführte Prozesse offenzulegen. Die zweite, CVE-2021-31956, ist eine Heap-Pufferüberlauf-Schwachstelle im Windows NTFS-Treiber, die für die Rechteerweiterung ausgenutzt werden kann.
Kaspersky sagt, dass die Schwachstellen, wenn sie miteinander verkettet sind, es dem Angreifer ermöglichten, aus der Sandbox zu entkommen und bösartigen Code auf einem Zielcomputer auszuführen.
Dann wird Malware bereitgestellt, die Stager-, Dropper-, Service- und Remote-Shell-Module umfasst. Das erste Modul prüft zunächst, ob die Ausnutzung erfolgreich war, und holt sich in diesem Fall das Dropper-Modul von einem Command-and-Control-Server (C2) zur Ausführung.
Zwei ausführbare Dateien landen dann auf dem Zielcomputer, der sich als legitime Windows-Dateien ausgibt. Die erste wird als Dienst registriert und wird verwendet, um die zweite ausführbare Datei zu starten, die Remote-Shell-Funktionen enthält.
Diese Nutzlast kann Dateien herunterladen und exfiltrieren sowie Systemprozesse erstellen. Die Malware ist auch in der Lage, sich selbst vorübergehend einzuschlafen oder sich selbst zu zerstören.
Es wird empfohlen, dass Organisationen regelmäßig Patch-Zeitpläne einhalten und relevante Fixes anwenden – umso mehr, wenn Fehler aktiv ausgenutzt werden. Wie wir beim Microsoft Exchange Server-Vorfall im März gesehen haben, werden Angreifer schnell auf Sicherheitsprobleme springen, sobald sie öffentlich bekannt werden.
Frühere und verwandte Berichterstattung
Necro Python-Bot mit neuer VMWare und Server-Exploits überarbeitet
Ein tiefer Einblick in Nefilim, eine Ransomware-Gruppe mit Blick auf Unternehmen mit einem Umsatz von mehr als einer Milliarde US-Dollar
diese neue Malware zielt auf Windows-Container ab, um auf Kubernetes-Cluster zuzugreifen.
Hast du einen Tipp? Sichere Kontaktaufnahme über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 