Vor etwa einem Monat haben wir bereits von der Entdeckung eines Exploits für eine Schwachstelle in Microsoft Windows berichtet. Das Ganze mag Ihnen eventuell bekannt vorkommen, aber unsere proaktiven Technologien haben einen weiteren Zero-Day-Exploit entdeckt, der erneut auf eine bislang unbekannte Schwachstelle im Betriebssystem abzielt. Dieses Mal sind allerdings ausschließlich Windows 7 und Windows Server 2008 gefährdet.
Dennoch macht diese Einschränkung die Bedrohung nicht weniger gefährlich. Obwohl Microsoft den Mainstream Support von Windows Server 2008 bereits im Januar 2015 eingestellt und bei der Einführung von Windows 10 ein kostenloses Upgrade zur Verfügung gestellt hat, wurde dieses nicht von allen Nutzern installiert. Da es derzeit noch immer ausreichend Kunden gibt, bieten Entwickler auch weiterhin Sicherheitsupdates und Support für beide Systeme an (und sollten dies auch weiterhin bis zum 14. Januar 2020 tun).
Als unsere Experten den Exploit Ende Oktober entdeckt haben, wurde Microsoft, mit einem beigefügten Proof of Concept, selbstverständlich unverzüglich über die Schwachstelle in Kenntnis gesetzt, die dann am 13. November umgehend von den Entwicklern gepatcht wurde.
Was Sie über diese Schwachstelle und den entsprechenden Exploit wissen sollten
Es handelt sich hierbei um eine Zero-Day-Schwachstelle im win32k.sys-Driver, mit der sich Angreifer erhöhte Rechte aneignen und die nötigen Privilegien für die Persistenz auf dem System eines Opfers erlangen können.
Der Exploit wurde bei mehreren APT-Angriffen hauptsächlich im Mittleren Osten eingesetzt und zielte lediglich auf 32-Bit-Versionen von Windows 7 ab. Weitere technische Details finden Sie in diesem Beitrag auf Securelist. Darüber hinaus können Abonnenten unseres Threat Intelligence Reportings weitere Informationen über den Angriff erhalten, indem sie sich an intelreports@kaspersky.com wenden.
So können Sie sich schützen
Folgende Ratschläge möchten wir Ihnen wie immer mit auf den Weg geben:
- Installieren Sie unverzüglich den von Microsoft zur Verfügung gestellten Patch.
- Aktualisieren Sie Ihre Software regelmäßig auf die neueste Version.
- Verwenden Sie keine veraltete Software vor Support-Ende.
- Nutzen Sie Sicherheitsprodukte mit Schwachstellen-Assessment und Patch-Verwaltungsfunktionen, um Aktualisierungsprozesse zu automatisieren.
- Verwenden Sie eine robuste und zuverlässige Sicherheitslösung, die mit verhaltensbasierten Erkennungsfunktionen ausgestattet ist, um wirksamen Schutz vor unbekannten Bedrohungen, einschließlich Zero-Day-Exploits, zu gewährleisten.
Bitte beachten Sie, dass die Entdeckung dieser bislang unbekannten Bedrohung erneut unseren proaktiven Technologien zuzuschreiben ist: zum einen unserer fortschrittlichen Sandboxing- und Anti-Malware-Engine der Kaspersky Anti Targeted Attack Plattform (eine Lösung, die speziell zum Schutz vor APT-Bedrohungen entwickelt wurde) und zum anderen unserer Automatic Exploit Prevention Technology, die gemeinsam ein integrales Subsystem unserer Lösung Kaspersky Endpoint Security for Business bilden.