Die Experten von Kaspersky Lab haben nach eigenen Aussagen eine zuvor unbekannte Schwachstelle – eine so genannte Zero-Day-Schwachstelle – in Microsoft Windows entdeckt. Eine bisher nicht identifizierte kriminelle Gruppe war dadurch in der Lage, die volle Kontrolle über ein anvisiertes Gerät zu erlangen. Die Cyberkriminellen hatten es auf den Kernel des Systems mittels einer Backdoor abgesehen, die aus einem wesentlichen Element des Windows-Betriebssystems aufgebaut war. Mittels Backdoors können Bedrohungsakteure infizierte Computer diskret für bösartige Zwecke nutzen. Eine solche Privilegien-Erweiterung durch Dritte ist in der Regel schwer vor Sicherheitslösungen zu verbergen.

Eine Backdoor, die allerdings einen unbekannten Fehler, also eine Zero-Day-Schwachstelle, im System ausnutzt, kann unentdeckt bleiben. Die Exploit-Prevention-Technik von Kaspersky Lab konnte den Versuch, die unbekannte Schwachstelle im Windows-Betriebssystem von Microsoft auszunutzen, jedoch erkennen, so die Kaspersky-Experten weiter.

Nach dem Start der schädlichen Exe-Datei begann die Installation der Malware. Die Infektion nutzte eine Zero-Day-Schwachstelle aus und erlangte so Privilegien für eine persistente Installation auf dem Computer des Opfers. Die Malware initiierte daraufhin den Start einer Backdoor, die mit einem legitimen Windows-Element entwickelt wurde und auf allen Computern dieses Betriebssystems vorhanden ist: das Scripting-Framework Windows PowerShell.

Dadurch konnten die Angreifer unentdeckt bleiben und gewannen Zeit zum Schreiben des Codes für bösartige Tools. Die Malware lud sodann eine weitere Backdoor von einem beliebten, legitimen Text-Storage-Service herunter, die den Cyberkriminellen die vollständige Kontrolle über das infizierte System gab.

„Bei diesem Angriff sehen wir zwei Trends, die häufig bei Advanced Persistent Threats (APTs) vorkommen“, erklärt Anton Ivanov, Sicherheitsexperte bei Kaspersky Lab. „Erstens, die Verwendung lokaler Exploits zur Privilegien-Erweiterung, um auf dem Computer des Opfers zu bleiben. Zweitens die Verwendung legitimer Frameworks wie Windows PowerShell für bösartige Zwecke auf dem Computer des Opfers. Diese Kombination gibt den Bedrohungsakteuren die Möglichkeit, Standard-Sicherheitslösungen zu umgehen. Um solche Techniken erfolgreich zu erkennen, muss eine Sicherheitslösung Exploit-Prevention- und Verhaltenserkennungstechnik verwenden.“

Um die Installation von Backdoors aufgrund von Zero-Day-Schwachstellen von Windows zu verhindern, empfiehlt Kaspersky Lab die folgenden Sicherheitsmaßnahmen:

  • Verfügbare Patches von Microsoft für die neue Schwachstelle sowie für sämtliche verwendete Software umgehend installieren,
  • erweiterte Sicherheitsprodukte mit Schwachstellenanalyse und Patch-Management-Funktion können solche Prozesse automatisieren,
  • eine umfassende Sicherheitslösung mit verhaltensbasierten Erkennungsfunktionen wie Kaspersky Endpoint Security for Business verwenden, um auch vor unbekannten Bedrohungen sicher zu sein,
  • das Sicherheitsteam sollte stets Zugriff auf die neuesten Cyberbedrohungsinformationen haben, und
  • das Unternehmen sollte Mitarbeiter in den Grundlagen der Cybersecurity-Hygiene schulen.

Die Schwachstelle wurde am 10. April 2019 an Microsoft gemeldet und beseitigt. Kaspersky-Produkte erkannten den Exploit als: HEUR: Exploit.Win32.Generic, HEUR: Trojan.Win32.Generic oder PDM: Exploit.Win32.Generic.

Weitere Informationen zum neuen Exploit sind verfügbar unter securelist.com/new-win32k-zero-day-cve-2019-0859/90435/.

Darüber hinaus sind Details zu den Kaspersky-Erkennungs-Tools und zum Exploit im aufgezeichneten Webinar zu finden: www.brighttalk.com/webcast/15591/348704.

Dr. Jörg Schröper ist Chefredakteur der LANline.