Gezielte Angriffe mit 0-Day-Lücken in Chrome und Windows

Microsoft hat beim Update-Dienstag im Juni sieben so genannte 0-Day-Lücken geschlossen, darunter sechs, die bereits bei Angriffen ausgenutzt werden. Fachleute des Sicherheitsunternehmens Kaspersky haben Angriffe auf IT-Systeme ihrer Kunden untersucht und eine bis dahin nicht bekannte APT-Gruppe ausgemacht, der sie den Namen „PuzzleMaker“ gegeben haben. Die Angreifer nutzen neu entdeckte Software-Schwachstellen, etwa in Chrome oder Windows, um in Netzwerke einzudringen, Schadcode auszuführen und vertrauliche Informationen auszuspionieren.

Bereits im April dieses Jahres haben Kaspersky-Forscher eine Reihe gezielter Angriffe untersucht, die mittels Chrome-Exploits durchgeführt wurden. Die Akteure nutzten Sicherheitslücken im Google-Browser, die bis dahin nicht bekannt waren, um in Systeme einzudringen. Google hat diese Schwachstellen im April mit Updates für Chrome 89 und 90 sukzessive beseitigt. Erst am 9. Juni hat Google ein Update für Chrome 91 bereitgestellt, das wieder eine solche 0-Day-Lücke schließt. Verbindungen zu bekannten APT-Akteuren konnte Kaspersky nicht herstellen, hat sie daher als neue Tätergruppe eingestuft und ihr den Namen „PuzzleMaker“ gegeben.

Sesam öffne Dich Die Täter haben nach dem Eindringen ins Netzwerk 0-Day-Lücken in Windows 10 genutzt, um sich weiter vorzuarbeiten und festzusetzen. Die genutzten Windows-Schwachstellen haben die Kaspersky-Fachleute als bis dahin unbekannt identifiziert und an Microsoft gemeldet. Die Lücken haben später die Kennungen CVE-2021-31955 und CVE-2021-31956 erhalten. Erstere ist ein Datenleck im Windows-Kernel (ntoskrnl.exe), das in einem mindestens seit 2017 im Quelltext auf Github zu findenden Tool namens MemInfo steckt. Es gehört zur mit Vista eingeführten SuperFetch-Technik. Es macht Informationen über Prozesse und deren Speicheradressen verfügbar (ID: Information Disclosure), die in der Exploit-Kette nützlich sind. Diese Lücke ist also nur im Zusammenspiel mit passenden weiteren Schwachstellen wertvoll. Das gilt im Grunde auch für die zweite 0-Day-Lücke, ein Pufferüberlauf im Treiber des Dateisystems NTFS (ntfs.sys). Damit ist es zuvor eingeschleustem Code möglich, sich höhere Berechtigungen (EoP: Elevation of Privilege) zu verschaffen. Das bedeutet hier, der über die Chrome-Lücke eingeschleuste Schadcode wird nicht mit einfachen Benutzerrechten, sondern im Kontext und mit den Berechtigungen des Systems ausgeführt. Damit ist die Exploit-Kette komplett und die Tür ins Netzwerk des Opfers steht den Angreifern offen. Tag der offenen Tür Doch das ist nur die erste Stufe eines solchen Angriffs. Haben die sich Täter damit im Netzwerk des Opfers etabliert, lädt der eingeschleuste Schadcode weitere Malware von einem Server im Internet. Jegliche Kommunikation mit dem Mutterschiff (C&C Server) findet verschlüsselt statt. Der Schadcode kommt mit individuell abgestimmter Konfiguration zum Zielrechner. Der wesentliche Teil ist ein als legitime Windows-Datei getarntes Remote-Shell-Modul (%SYSTEM%wmimon.dll), das Dateien ein- und ausschleusen kann, Prozesse erzeugt, zeitweilig in einem Ruhezustand verharrt und sich schließlich selbst wieder löscht. Weitere Details finden Sie im Kaspersky-Blog SecureList . ▶Die neuesten Sicherheits-Updates Microsoft hat diese und etliche weitere Sicherheitslücken beim Update-Dienstag am 8. Juni geschlossen. Für die beiden vorgenannten 0-Day-Lücken nennt Microsoft Kasperskys Boris Larin als Entdecker. Da diese Schwachstellen nun für APT-Gruppen nicht mehr so interessant sind, werden deren Exploits weitere Kreise ziehen und bald auch in Brot-und-Butter-Angriffen gewöhnlicher Krimineller zum Einsatz kommen. Deshalb sollten Sie Sicherheits-Updates für Windows, Browser und andere Software regelmäßig sowie zeitnah einspielen. Auch wenn Ihr Büro- oder Heimnetz nicht zur so genannten kritischen Infrastruktur zählt – für Sie ist es heutzutage genau das.