Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Cyber SecurityDie von Kaspersky Lab entdeckte Sicherheitslücke in Microsoft Silverlight wurde geschlossen.

Kaspersky Lab hat eine Zero-Day-Schwachstelle in Silverlight entdeckt, einer Webtechnologie, mit der Multimediainhalte dargestellt werden. Die Sicherheitslücke ermöglicht Angreifern den vollständigen Zugriff auf kompromittierte Computer und führt einen Schadcode aus, mit dem vertrauliche Informationen gestohlen und weitere illegale Aktionen durchgeführt werden können. Die Schwachstelle (CVE-2016-0034) wurde mit dem jüngsten Patch von Microsoft vom 12. Januar 2016 beseitigt.

Einer Sicherheitslücke auf der Spur

Im Sommer 2015 wurde eine Attacke gegen das Unternehmen Hacking Team – einem bekannten Entwickler „legaler Spyware“ – öffentlich bekannt. In einem Artikel des Mediums Ars Technica wurde eine vermutlich durchgesickerte Korrespondenz angeblich zwischen Vertretern von Hacking Team und Vitaliy Toropov, einem unabhängigen Exploit-Autor, erwähnt. Demnach soll Toropov Hacking Team eine besonders interessante Zero-Day-Schwachstelle zum Kauf angeboten haben: Ein vier Jahre altes und immer noch nicht gepatchtes Exploit innerhalb der Silverlight-Technologie von Microsoft. Die Experten von Kaspersky Lab nahmen dies zum Anlass, den Fall näher zu untersuchen.

Da es innerhalb des Artikels keine weiteren Informationen über das Exploit gab, konzentrierten sich die Untersuchungen auf den Namen des Anbieters. Es stellte sich heraus, dass Vitaliy Toropov auf einer Plattform für den Austausch über Software-Schwachstellen (Open Source Vulnerability Database, OSVDB) sehr aktiv war. Über sein öffentliches Profil auf OSVDB.org fanden die Experten von Kaspersky Lab heraus, dass Toropov im Jahr 2013 eine Machbarkeitsstudie veröffentlichte, in der er eine Schwachstelle in Silverlight beschrieb. Dabei handelte es sich um eine veraltete und sofort gepatchte Lücke. Allerdings enthielt sie auch zusätzliche Details, die Kaspersky Lab Hinweise darauf gab, wie der Autor des Exploits den Code schreibt.

Innerhalb des Codes stachen einige einzigartige Strings heraus. Die Experten von Kaspersky Lab kreierten verschiedene Entdeckungsregeln für die Kaspersky-Sicherheitstechnologien: Trifft ein Nutzer, der am Kaspersky Security Network teilnimmt, auf schädliche Software, die ein Verhalten zeigt, das den Kaspersky-Regeln entspricht, wird die Datei als hoch verdächtig eingestuft und eine anonyme Nachricht für Analysezwecke an Kaspersky Lab geschickt. Die Annahme der Experten: Wenn Toropov bereits versuchte, ein Zero-Day-Exploit an Hacking Team zu verkaufen, war es sehr wahrscheinlich, dass er das Exploit auch anderen Anbietern von Spyware anbot. Die Zero-Day-Schwachstelle könnte also aktiv von anderen Cyberspionagekampagnen genutzt werden, um ahnungslose Opfer anzugreifen.

Die Annahme stellte sich als korrekt heraus. Einige Monate nachdem die Entdeckungsregeln implementiert wurden, wurde ein Kunde von Kaspersky Lab über eine verdächtige Datei attackiert. Stunden später lud ein Nutzer aus Laos – wahrscheinlich ein Opfer der Attacke – eine Datei mit denselben Charakteristika auf einen Multiscanner-Service hoch. Die Experten von Kaspersky Lab stellten fest, dass hierbei eine aktuelle Lücke innerhalb der Silverlight-Technologie ausgenutzt wurde. Diese Information wurde umgehend an Microsoft zur Überprüfung weiter gegeben.

„Obwohl wir nicht sicher sagen können, ob das von uns entdeckte Exploit mit dem im Artikel von Ars Technica erwähnten identisch ist, haben wir Anhaltpunkte, die stark dafür sprechen, dass es sich um dasselbe Exploit handelt“, sagt Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. „Ein Vergleich unserer Dateianalyse mit der bekannten Arbeit von Vitaliy Toropov lässt uns annehmen, dass der Autor des entdeckten Exploits und der Autor, der das POC auf OSVDB im Namen von Tropov veröffentlichte, ein und dieselbe Person ist. Gleichzeitig können wir nicht komplett ausschließen, dass wir eine neue Zero-Day-Lücke in Silverlight gefunden haben. Insgesamt macht unsere Untersuchung den Cyberspace sicherer, weil ein neues Zero-Day-Exploit entdeckt und geschlossen werden konnte. Wir raten allen Nutzern von Microsoft-Produkten, ihre Systeme so schnell wie möglich mit dem entsprechenden Schwachstellen-Patch zu aktualisieren.“

Die Produkte von Kaspersky Lab erkennen das CVE-2016-0034 Exploit unter dem folgendem Namen: HEUR:Exploit.MSIL.Agent.gen

Weitere Informationen:

Kaspersky-Blog zur Silverlight-Lücke

www.kaspersky.com/de

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security