Anzeige

Exploit

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit im Desktop Window Manager. Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung gebracht werden. Eine beliebige Code-Ausführung seitens Cyberkriminellen auf dem Opfer-Computer wäre möglich.

Bei Zero-Day-Schwachstellen handelt es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung können Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.

Bei der Analyse des Exploits CVE-2021-1732 fanden die Experten von Kaspersky einen weiteren Zero-Day-Exploit und meldeten ihn im Februar 2021 an Microsoft. Nach der Bestätigung, dass es sich tatsächlich um einen Zero-Day handelt, erhielt die Schwachstelle die Bezeichnung CVE-2021-28310.

Laut den Forschern wird dieser Exploit in freier Wildbahn verwendet - möglicherweise von mehreren Bedrohungsakteuren. Es handelt sich um einen sogenannten EoP-Exploit (Escalation of Privilege), der sich im Desktop Window Manager befindet und mit dem Angreifer beliebigen Code auf dem Computer eines Opfers ausführen können.

Wahrscheinlich wird dieser Exploit zusammen mit weiteren Browser-Exploits verwendet, um Erkennung innerhalb einer Sandbox zu entgehen und um Systemberechtigungen für den weiteren Zugriff zu erhalten. Bei der ersten Analyse durch Kaspersky konnte nicht die gesamte Infektionskette ermittelt werden. Daher ist noch nicht bekannt, ob der Exploit mit einem anderen Zero-Day-System oder mit bekannten, gepatchten Sicherheitslücken verwendet wird.

"Der Exploit wurde durch unsere fortschrittliche Exploit-Prevention-Technologie und die damit verbundenen Erkennungsaufzeichnungen identifiziert", erklärt Boris Larin, Sicherheitsexperte bei Kaspersky. "Wir haben in den vergangenen Jahren eine Vielzahl von Exploit-Schutztechnologien in unsere Produkte integriert, die bereits mehrere Zero-Days erkannt haben und damit ihre Wirksamkeit immer wieder unter Beweis stellen. Wir werden den Schutz unserer Nutzer weiter verbessern, indem wir unsere Technologien kontinuierlich optimieren und mit Drittanbietern zusammenarbeiten, um Schwachstellen zu beheben und das Internet für alle sicherer zu machen."

Am 13. April 2021 wurde ein Patch für die Sicherheitslücke CVE-2021-28310 veröffentlicht.

Kaspersky-Produkte erkennen diesen Exploit als:

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

Kaspersky-Empfehlungen zum Schutz vor Zero-Day-Exploits

  • Umgehend die verfügbaren Patches für die entdeckte Sicherheitslücke installieren, damit Cyberkriminelle letztere nicht länger ausnutzen können. Sicherheitslücken- und Patch-Management-Funktionen in einer Endpoint-Protection-Lösung können hierbei unterstützen.
     
  • Das SOC-Team sollte stets Zugriff auf aktuelle Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal ist ein zentraler Zugangspunkt für die Threat Intelligence des Unternehmens und bietet umfassende Daten zu Cyberangriffen.
     
  • Neben einer Endpoint-Sicherheitslösung sollte zudem ein dedizierter Schutz vor Bedrohungen auf Netzwerkebene implementiert werden.

www.kaspersky.de
 


Artikel zu diesem Thema

Sicherheit
Apr 14, 2021

Patch-Tuesday bei Microsoft und Schwachstelle in JavaScript-Engine

Am Dienstag hat Microsoft eine rekordverdächtige Zahl an Patches vorgestellt. Zudem wurde…
Hacked
Apr 10, 2021

Microsoft Exchange-Server-Hack: Beispiellose Angriffswelle auf ungepatchte Server

Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier…
Microsoft Office
Apr 07, 2021

Jedes fünfte Unternehmen nutzt unsichere Microsoft Office-Pakete

Jedes fünfte Unternehmen in Deutschland nutzt Microsoft Office-Pakete, für die keine…

Weitere Artikel

Hackerangriff

Best of Hacks: Highlights März 2021

Im März rücken unter anderem die Europäische Bankenauf-sichtsbehörde EBA und der PC-Hersteller Acer in den Fokus von Cyberkriminellen. Sicherheitslücken machten zudem unbefugte Zugriffe beim Sicherheitsunternehmen Verkada und bei mehreren Testzentren in…
Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.
Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.