Thought Leadership
Die von Kaspersky Lab entdeckte Sicherheitslücke in Microsoft Silverlight wurde geschlossen.
Kaspersky Lab hat eine Zero-Day-Schwachstelle in Silverlight entdeckt, einer Webtechnologie, mit der Multimediainhalte dargestellt werden. Die Sicherheitslücke ermöglicht Angreifern den vollständigen Zugriff auf kompromittierte Computer und führt einen Schadcode aus, mit dem vertrauliche Informationen gestohlen und weitere illegale Aktionen durchgeführt werden können. Die Schwachstelle (CVE-2016-0034) wurde mit dem jüngsten Patch von Microsoft vom 12. Januar 2016 beseitigt.
Einer Sicherheitslücke auf der Spur
Im Sommer 2015 wurde eine Attacke gegen das Unternehmen Hacking Team – einem bekannten Entwickler „legaler Spyware“ – öffentlich bekannt. In einem Artikel des Mediums Ars Technica wurde eine vermutlich durchgesickerte Korrespondenz angeblich zwischen Vertretern von Hacking Team und Vitaliy Toropov, einem unabhängigen Exploit-Autor, erwähnt. Demnach soll Toropov Hacking Team eine besonders interessante Zero-Day-Schwachstelle zum Kauf angeboten haben: Ein vier Jahre altes und immer noch nicht gepatchtes Exploit innerhalb der Silverlight-Technologie von Microsoft. Die Experten von Kaspersky Lab nahmen dies zum Anlass, den Fall näher zu untersuchen.
Da es innerhalb des Artikels keine weiteren Informationen über das Exploit gab, konzentrierten sich die Untersuchungen auf den Namen des Anbieters. Es stellte sich heraus, dass Vitaliy Toropov auf einer Plattform für den Austausch über Software-Schwachstellen (Open Source Vulnerability Database, OSVDB) sehr aktiv war. Über sein öffentliches Profil auf OSVDB.org fanden die Experten von Kaspersky Lab heraus, dass Toropov im Jahr 2013 eine Machbarkeitsstudie veröffentlichte, in der er eine Schwachstelle in Silverlight beschrieb. Dabei handelte es sich um eine veraltete und sofort gepatchte Lücke. Allerdings enthielt sie auch zusätzliche Details, die Kaspersky Lab Hinweise darauf gab, wie der Autor des Exploits den Code schreibt.
Innerhalb des Codes stachen einige einzigartige Strings heraus. Die Experten von Kaspersky Lab kreierten verschiedene Entdeckungsregeln für die Kaspersky-Sicherheitstechnologien: Trifft ein Nutzer, der am Kaspersky Security Network teilnimmt, auf schädliche Software, die ein Verhalten zeigt, das den Kaspersky-Regeln entspricht, wird die Datei als hoch verdächtig eingestuft und eine anonyme Nachricht für Analysezwecke an Kaspersky Lab geschickt. Die Annahme der Experten: Wenn Toropov bereits versuchte, ein Zero-Day-Exploit an Hacking Team zu verkaufen, war es sehr wahrscheinlich, dass er das Exploit auch anderen Anbietern von Spyware anbot. Die Zero-Day-Schwachstelle könnte also aktiv von anderen Cyberspionagekampagnen genutzt werden, um ahnungslose Opfer anzugreifen.
Die Annahme stellte sich als korrekt heraus. Einige Monate nachdem die Entdeckungsregeln implementiert wurden, wurde ein Kunde von Kaspersky Lab über eine verdächtige Datei attackiert. Stunden später lud ein Nutzer aus Laos – wahrscheinlich ein Opfer der Attacke – eine Datei mit denselben Charakteristika auf einen Multiscanner-Service hoch. Die Experten von Kaspersky Lab stellten fest, dass hierbei eine aktuelle Lücke innerhalb der Silverlight-Technologie ausgenutzt wurde. Diese Information wurde umgehend an Microsoft zur Überprüfung weiter gegeben.
„Obwohl wir nicht sicher sagen können, ob das von uns entdeckte Exploit mit dem im Artikel von Ars Technica erwähnten identisch ist, haben wir Anhaltpunkte, die stark dafür sprechen, dass es sich um dasselbe Exploit handelt“, sagt Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. „Ein Vergleich unserer Dateianalyse mit der bekannten Arbeit von Vitaliy Toropov lässt uns annehmen, dass der Autor des entdeckten Exploits und der Autor, der das POC auf OSVDB im Namen von Tropov veröffentlichte, ein und dieselbe Person ist. Gleichzeitig können wir nicht komplett ausschließen, dass wir eine neue Zero-Day-Lücke in Silverlight gefunden haben. Insgesamt macht unsere Untersuchung den Cyberspace sicherer, weil ein neues Zero-Day-Exploit entdeckt und geschlossen werden konnte. Wir raten allen Nutzern von Microsoft-Produkten, ihre Systeme so schnell wie möglich mit dem entsprechenden Schwachstellen-Patch zu aktualisieren.“
Die Produkte von Kaspersky Lab erkennen das CVE-2016-0034 Exploit unter dem folgendem Namen: HEUR:Exploit.MSIL.Agent.gen
Weitere Informationen:
