VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Cyber SecurityDie von Kaspersky Lab entdeckte Sicherheitslücke in Microsoft Silverlight wurde geschlossen.

Kaspersky Lab hat eine Zero-Day-Schwachstelle in Silverlight entdeckt, einer Webtechnologie, mit der Multimediainhalte dargestellt werden. Die Sicherheitslücke ermöglicht Angreifern den vollständigen Zugriff auf kompromittierte Computer und führt einen Schadcode aus, mit dem vertrauliche Informationen gestohlen und weitere illegale Aktionen durchgeführt werden können. Die Schwachstelle (CVE-2016-0034) wurde mit dem jüngsten Patch von Microsoft vom 12. Januar 2016 beseitigt.

Einer Sicherheitslücke auf der Spur

Im Sommer 2015 wurde eine Attacke gegen das Unternehmen Hacking Team – einem bekannten Entwickler „legaler Spyware“ – öffentlich bekannt. In einem Artikel des Mediums Ars Technica wurde eine vermutlich durchgesickerte Korrespondenz angeblich zwischen Vertretern von Hacking Team und Vitaliy Toropov, einem unabhängigen Exploit-Autor, erwähnt. Demnach soll Toropov Hacking Team eine besonders interessante Zero-Day-Schwachstelle zum Kauf angeboten haben: Ein vier Jahre altes und immer noch nicht gepatchtes Exploit innerhalb der Silverlight-Technologie von Microsoft. Die Experten von Kaspersky Lab nahmen dies zum Anlass, den Fall näher zu untersuchen.

Da es innerhalb des Artikels keine weiteren Informationen über das Exploit gab, konzentrierten sich die Untersuchungen auf den Namen des Anbieters. Es stellte sich heraus, dass Vitaliy Toropov auf einer Plattform für den Austausch über Software-Schwachstellen (Open Source Vulnerability Database, OSVDB) sehr aktiv war. Über sein öffentliches Profil auf OSVDB.org fanden die Experten von Kaspersky Lab heraus, dass Toropov im Jahr 2013 eine Machbarkeitsstudie veröffentlichte, in der er eine Schwachstelle in Silverlight beschrieb. Dabei handelte es sich um eine veraltete und sofort gepatchte Lücke. Allerdings enthielt sie auch zusätzliche Details, die Kaspersky Lab Hinweise darauf gab, wie der Autor des Exploits den Code schreibt.

Innerhalb des Codes stachen einige einzigartige Strings heraus. Die Experten von Kaspersky Lab kreierten verschiedene Entdeckungsregeln für die Kaspersky-Sicherheitstechnologien: Trifft ein Nutzer, der am Kaspersky Security Network teilnimmt, auf schädliche Software, die ein Verhalten zeigt, das den Kaspersky-Regeln entspricht, wird die Datei als hoch verdächtig eingestuft und eine anonyme Nachricht für Analysezwecke an Kaspersky Lab geschickt. Die Annahme der Experten: Wenn Toropov bereits versuchte, ein Zero-Day-Exploit an Hacking Team zu verkaufen, war es sehr wahrscheinlich, dass er das Exploit auch anderen Anbietern von Spyware anbot. Die Zero-Day-Schwachstelle könnte also aktiv von anderen Cyberspionagekampagnen genutzt werden, um ahnungslose Opfer anzugreifen.

Die Annahme stellte sich als korrekt heraus. Einige Monate nachdem die Entdeckungsregeln implementiert wurden, wurde ein Kunde von Kaspersky Lab über eine verdächtige Datei attackiert. Stunden später lud ein Nutzer aus Laos – wahrscheinlich ein Opfer der Attacke – eine Datei mit denselben Charakteristika auf einen Multiscanner-Service hoch. Die Experten von Kaspersky Lab stellten fest, dass hierbei eine aktuelle Lücke innerhalb der Silverlight-Technologie ausgenutzt wurde. Diese Information wurde umgehend an Microsoft zur Überprüfung weiter gegeben.

„Obwohl wir nicht sicher sagen können, ob das von uns entdeckte Exploit mit dem im Artikel von Ars Technica erwähnten identisch ist, haben wir Anhaltpunkte, die stark dafür sprechen, dass es sich um dasselbe Exploit handelt“, sagt Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. „Ein Vergleich unserer Dateianalyse mit der bekannten Arbeit von Vitaliy Toropov lässt uns annehmen, dass der Autor des entdeckten Exploits und der Autor, der das POC auf OSVDB im Namen von Tropov veröffentlichte, ein und dieselbe Person ist. Gleichzeitig können wir nicht komplett ausschließen, dass wir eine neue Zero-Day-Lücke in Silverlight gefunden haben. Insgesamt macht unsere Untersuchung den Cyberspace sicherer, weil ein neues Zero-Day-Exploit entdeckt und geschlossen werden konnte. Wir raten allen Nutzern von Microsoft-Produkten, ihre Systeme so schnell wie möglich mit dem entsprechenden Schwachstellen-Patch zu aktualisieren.“

Die Produkte von Kaspersky Lab erkennen das CVE-2016-0034 Exploit unter dem folgendem Namen: HEUR:Exploit.MSIL.Agent.gen

Weitere Informationen:

Kaspersky-Blog zur Silverlight-Lücke

www.kaspersky.com/de

GRID LIST
Hacker im Visir

Drittanbieter-Software im Fokus von Hackern – was können MSP tun?

Der traditionelle Ansatz der IT lautet: Wenn dein Betriebssystem gepatcht ist, dann ist…
KI Security

Falsche Abwehrstrategie zwingt die IT-Sicherheitsbranche in Aufrüstspirale

Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als…
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security