Nach 9 Jahren: Microsoft-Schwachstelle wird erneut angegriffen

7. Januar 2022, 13:46
  • security
  • lücke
  • cyberangriff
  • check point
  • microsoft
image

Zwar gab es 2013 einen Patch für Microsofts digitale Signatur, doch der wurde überarbeitet. Das macht sich die Hackergruppe Malsmoke zunutze.

Vor 9 Jahren wurde eine Schwachstelle in der digitalen Signatur von Microsoft bekannt, die seither als "CVE-2013-3900" verfolgt wird. Untersuchungen des Cybersecurity-Unternehmens Check Point haben jetzt ergeben, dass diese Lücke erneut ausgenutzt wird.
Im Bericht heisst es, dass seit November 2021 eine neue Malware-Kampagne mit dem Banking-Trojaner ZLoader laufe und bereits Daten und Anmeldeinformationen von mehr als 2000 Opfern in 111 Ländern gestohlen wurden. Die Hackergruppe Malsmoke missbrauche dabei die Schwachstelle in Microsofts E-Signatur-Verifizierungstool.
"Zu den in die Infektionskette integrierten Techniken gehört die Verwendung legitimer Remote-Management-Software (RMM), um einen ersten Zugriff auf den Zielcomputer zu erhalten. Die Malware nutzt dann die Methode zur Überprüfung der digitalen Signatur von Microsoft aus, um ihre Nutzlast in eine signierte System-DLL einzuschleusen, um die Abwehr des Systems weiter zu umgehen", schreibt Check Point in einem Blog-Beitrag. Dort finden sich auch weitere Details zum Vorgehen der Angreifer.
Der Angriff beginne, nachdem der Angreifer durch die Installation einer legitimen Unternehmens-Fernüberwachungssoftware namens Atera ersten Zugriff erhalte. Danach sei ein kompletter Zugriff auf das Zielsystem möglich.
Microsoft habe den Fehler 2013 behoben, den Patch jedoch im Juli 2014 überarbeitet, weil "sie festgestellt haben, dass die Auswirkungen auf vorhandene Software hoch sein könnten", so Check Point. "Daher haben sie im Juli 2014 die strengere Dateiüberprüfung aufgehoben und in ein Opt-in-Update geändert. Mit anderen Worten, dieser Fix ist standardmässig deaktiviert, was es dem Malware-Autor ermöglicht, die signierte Datei zu ändern."
Check Point empfiehlt Anwendern dringend, "das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmässig nicht angewendet wird". Check Point habe Microsoft und Atera umgehend über die Ergebnisse der Untersuchung informiert.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

ChatGPT wächst so schnell wie keine andere App

Der KI-Chatbot bricht Rekorde und verzeichnet 100 Millionen aktive Nutzer innert nur 2 Monaten. Nun soll bald ein Abo-Modell eingeführt werden.

publiziert am 2.2.2023