Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Cyber SecurityDie von Kaspersky Lab entdeckte Sicherheitslücke in Microsoft Silverlight wurde geschlossen.

Kaspersky Lab hat eine Zero-Day-Schwachstelle in Silverlight entdeckt, einer Webtechnologie, mit der Multimediainhalte dargestellt werden. Die Sicherheitslücke ermöglicht Angreifern den vollständigen Zugriff auf kompromittierte Computer und führt einen Schadcode aus, mit dem vertrauliche Informationen gestohlen und weitere illegale Aktionen durchgeführt werden können. Die Schwachstelle (CVE-2016-0034) wurde mit dem jüngsten Patch von Microsoft vom 12. Januar 2016 beseitigt.

Einer Sicherheitslücke auf der Spur

Im Sommer 2015 wurde eine Attacke gegen das Unternehmen Hacking Team – einem bekannten Entwickler „legaler Spyware“ – öffentlich bekannt. In einem Artikel des Mediums Ars Technica wurde eine vermutlich durchgesickerte Korrespondenz angeblich zwischen Vertretern von Hacking Team und Vitaliy Toropov, einem unabhängigen Exploit-Autor, erwähnt. Demnach soll Toropov Hacking Team eine besonders interessante Zero-Day-Schwachstelle zum Kauf angeboten haben: Ein vier Jahre altes und immer noch nicht gepatchtes Exploit innerhalb der Silverlight-Technologie von Microsoft. Die Experten von Kaspersky Lab nahmen dies zum Anlass, den Fall näher zu untersuchen.

Da es innerhalb des Artikels keine weiteren Informationen über das Exploit gab, konzentrierten sich die Untersuchungen auf den Namen des Anbieters. Es stellte sich heraus, dass Vitaliy Toropov auf einer Plattform für den Austausch über Software-Schwachstellen (Open Source Vulnerability Database, OSVDB) sehr aktiv war. Über sein öffentliches Profil auf OSVDB.org fanden die Experten von Kaspersky Lab heraus, dass Toropov im Jahr 2013 eine Machbarkeitsstudie veröffentlichte, in der er eine Schwachstelle in Silverlight beschrieb. Dabei handelte es sich um eine veraltete und sofort gepatchte Lücke. Allerdings enthielt sie auch zusätzliche Details, die Kaspersky Lab Hinweise darauf gab, wie der Autor des Exploits den Code schreibt.

Innerhalb des Codes stachen einige einzigartige Strings heraus. Die Experten von Kaspersky Lab kreierten verschiedene Entdeckungsregeln für die Kaspersky-Sicherheitstechnologien: Trifft ein Nutzer, der am Kaspersky Security Network teilnimmt, auf schädliche Software, die ein Verhalten zeigt, das den Kaspersky-Regeln entspricht, wird die Datei als hoch verdächtig eingestuft und eine anonyme Nachricht für Analysezwecke an Kaspersky Lab geschickt. Die Annahme der Experten: Wenn Toropov bereits versuchte, ein Zero-Day-Exploit an Hacking Team zu verkaufen, war es sehr wahrscheinlich, dass er das Exploit auch anderen Anbietern von Spyware anbot. Die Zero-Day-Schwachstelle könnte also aktiv von anderen Cyberspionagekampagnen genutzt werden, um ahnungslose Opfer anzugreifen.

Die Annahme stellte sich als korrekt heraus. Einige Monate nachdem die Entdeckungsregeln implementiert wurden, wurde ein Kunde von Kaspersky Lab über eine verdächtige Datei attackiert. Stunden später lud ein Nutzer aus Laos – wahrscheinlich ein Opfer der Attacke – eine Datei mit denselben Charakteristika auf einen Multiscanner-Service hoch. Die Experten von Kaspersky Lab stellten fest, dass hierbei eine aktuelle Lücke innerhalb der Silverlight-Technologie ausgenutzt wurde. Diese Information wurde umgehend an Microsoft zur Überprüfung weiter gegeben.

„Obwohl wir nicht sicher sagen können, ob das von uns entdeckte Exploit mit dem im Artikel von Ars Technica erwähnten identisch ist, haben wir Anhaltpunkte, die stark dafür sprechen, dass es sich um dasselbe Exploit handelt“, sagt Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. „Ein Vergleich unserer Dateianalyse mit der bekannten Arbeit von Vitaliy Toropov lässt uns annehmen, dass der Autor des entdeckten Exploits und der Autor, der das POC auf OSVDB im Namen von Tropov veröffentlichte, ein und dieselbe Person ist. Gleichzeitig können wir nicht komplett ausschließen, dass wir eine neue Zero-Day-Lücke in Silverlight gefunden haben. Insgesamt macht unsere Untersuchung den Cyberspace sicherer, weil ein neues Zero-Day-Exploit entdeckt und geschlossen werden konnte. Wir raten allen Nutzern von Microsoft-Produkten, ihre Systeme so schnell wie möglich mit dem entsprechenden Schwachstellen-Patch zu aktualisieren.“

Die Produkte von Kaspersky Lab erkennen das CVE-2016-0034 Exploit unter dem folgendem Namen: HEUR:Exploit.MSIL.Agent.gen

Weitere Informationen:

Kaspersky-Blog zur Silverlight-Lücke

www.kaspersky.com/de

GRID LIST
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Jürgen Jakob

Anti-Malware & E-Mail Security nach wie vor unverzichtbar | Statement

Im digitalen Zeitalter sind die Sicherheitsbedrohungen für IT-Systeme zahlreich und…
Smart House

Smarte Geräte: Schadprogramme und Defizite bei Privatsphäre

Ob smarte Lautsprecher, smarte Armbanduhren, Überwachungskameras oder das komplette Smart…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet