Zum Hauptinhalt springen

Die Enttarnung einer Zero-Day-Lücke

13. Januar 2016

Von Kaspersky Lab entdeckte Sicherheitslücke in Microsoft Silverlight seit gestern geschlossen

Kaspersky Lab hat eine Zero-Day-Schwachstelle in Silverlight entdeckt, einer Webtechnologie, mit der Multimediainhalte dargestellt werden [1]. Die Sicherheitslücke ermöglicht Angreifern den vollständigen Zugriff auf kompromittierte Computer und führt einen Schadcode aus, mit dem vertrauliche Informationen gestohlen und weitere illegale Aktionen durchgeführt werden können. Die Schwachstelle (CVE-2016-0034) [2] wurde mit dem jüngsten Patch von Microsoft vom 12. Januar 2016 beseitigt.

Einer Sicherheitslücke auf der Spur

Im Sommer 2015 wurde eine Attacke gegen das Unternehmen Hacking Team – einem bekannten Entwickler „legaler Spyware“ – öffentlich bekannt. In einem Artikel des Mediums Ars Technica [3] wurde eine vermutlich durchgesickerte Korrespondenz angeblich zwischen Vertretern von Hacking Team und Vitaliy Toropov, einem unabhängigen Exploit-Autor, erwähnt. Demnach soll Toropov Hacking Team eine besonders interessante Zero-Day-Schwachstelle zum Kauf angeboten haben: ein vier Jahre altes und immer noch nicht gepatchtes Exploit innerhalb der Silverlight-Technologie von Microsoft. Die Experten von Kaspersky Lab nahmen dies zum Anlass, den Fall näher zu untersuchen.

Da es innerhalb des Artikels keine weiteren Informationen über das Exploit gab, konzentrierten sich die Untersuchungen auf den Namen des Anbieters. Es stellte sich heraus, dass Vitaliy Toropov auf einer Plattform für den Austausch über Software-Schwachstellen (Open Source Vulnerability Database, OSVDB) sehr aktiv war. Über sein öffentliches Profil auf OSVDB.org fanden die Experten von Kaspersky Lab heraus, dass Toropov im Jahr 2013 eine Machbarkeitsstudie veröffentlichte, in der er eine Schwachstelle in Silverlight beschrieb. Dabei handelte es sich um eine veraltete und sofort gepatchte Lücke. Allerdings enthielt sie auch zusätzliche Details, die Kaspersky Lab Hinweise darauf gab, wie der Autor des Exploits den Code schreibt.

Innerhalb des Codes stachen einige einzigartige Strings heraus. Die Experten von Kaspersky Lab kreierten verschiedene Entdeckungsregeln für die Kaspersky-Sicherheitstechnologien: Trifft ein Nutzer, der am Kaspersky Security Network teilnimmt [4], auf schädliche Software, die ein Verhalten zeigt, das den Kaspersky-Regeln entspricht, wird die Datei als hoch verdächtig eingestuft und eine anonyme Nachricht für Analysezwecke an Kaspersky Lab geschickt. Die Annahme der Experten: Wenn Toropov bereits versuchte, ein Zero-Day-Exploit an Hacking Team zu verkaufen, war es sehr wahrscheinlich, dass er das Exploit auch anderen Anbietern von Spyware anbot. Die Zero-Day-Schwachstelle könnte also aktiv von anderen Cyberspionagekampagnen genutzt werden, um ahnungslose Opfer anzugreifen.

Die Annahme stellte sich als korrekt heraus. Einige Monate nachdem die Entdeckungsregeln implementiert wurden, wurde ein Kunde von Kaspersky Lab über eine verdächtige Datei attackiert. Stunden später lud ein Nutzer aus Laos – wahrscheinlich ein Opfer der Attacke – eine Datei mit denselben Charakteristika auf einen Multiscanner-Service hoch. Die Experten von Kaspersky Lab stellten fest, dass hierbei eine aktuelle Lücke innerhalb der Silverlight-Technologie ausgenutzt wurde. Diese Information wurde umgehend an Microsoft zur Überprüfung weiter gegeben.

„Obwohl wir nicht sicher sagen können, ob das von uns entdeckte Exploit mit dem im Artikel von Ars Technica erwähnten identisch ist, haben wir Anhaltpunkte, die stark dafür sprechen, dass es sich um dasselbe Exploit handelt“, sagt Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. „Ein Vergleich unserer Dateianalyse mit der bekannten Arbeit von Vitaliy Toropov lässt uns annehmen, dass der Autor des entdeckten Exploits und der Autor, der das POC auf OSVDB im Namen von Tropov veröffentlichte, ein und dieselbe Person ist. Gleichzeitig können wir nicht komplett ausschließen, dass wir eine neue Zero-Day-Lücke in Silverlight gefunden haben. Insgesamt macht unsere Untersuchung den Cyberspace sicherer, weil ein neues Zero-Day-Exploit entdeckt und geschlossen werden konnte. Wir raten allen Nutzern von Microsoft-Produkten, ihre Systeme so schnell wie möglich mit dem entsprechenden Schwachstellen-Patch zu aktualisieren.“

Die Produkte von Kaspersky Lab erkennen das CVE-2016-0034 Exploit unter dem folgendem Namen: HEUR:Exploit.MSIL.Agent.gen

Der folgende Blogbeitrag bietet weitere technische Details zur Silverlight-Schwachstelle: https://securelist.com/blog/research/73255/the-mysterious-case-of-cve-2016-0034-the-hunt-for-a-microsoft-silverlight-0-day/

[1] https://securelist.com/blog/research/73255/the-mysterious-case-of-cve-2016-0034-the-hunt-for-a-microsoft-silverlight-0-day/
[2] https://technet.microsoft.com/de-de/library/security/ms16-006
[3] http://arstechnica.com/security/2015/07/how-a-russian-hacker-made-45000-selling-a-zero-day-flash-exploit-to-hacking-team/
[4] Am cloudbasierten Kaspersky Security Network (KSN) können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf abrufbar ist.

Nützliche Links:

Die Enttarnung einer Zero-Day-Lücke

Von Kaspersky Lab entdeckte Sicherheitslücke in Microsoft Silverlight seit gestern geschlossen
Kaspersky logo

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Der Cybersicherheitsanbieter schützt über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter kaspersky.de.

Verwandter Artikel Pressemitteilungen