Unsere Technologien haben kürzlich einen Angriff auf ein südkoreanisches Unternehmen verhindert. Das ist ein ganz normaler Mittwoch, könnte man sagen, aber bei der Analyse der Angriffstools der Cyberkriminellen entdeckten unsere Experten ganze zwei Zero-Day-Schwachstellen. Die erste fanden sie in der JavaScript-Engine von Internet Explorer 11. Diese erlaubte eine Remote-Ausführung von beliebigen Codes seitens der Angreifer. Die zweite Schwachstelle wurde in einem Systemdienst entdeckt, die den Angreifern eine sogenannte Privilegien-Eskalation ermöglichte, bei der Systemrechte erweitert werden und dadurch unautorisierte Aktionen ausgeführt werden können.
Die Ausnutzung dieser Schwachstellen erfolgte im Tandem. Zuerst wurde dem Opfer ein bösartiges Skript zugespielt, das durch eine Lücke in Internet Explorer 11 ausgeführt werden konnte. Anhand der Systemdienst-Schwachstelle wurden dann die Privilegien des bösartigen Prozesses erweitert. Infolgedessen konnten die Angreifer die Kontrolle über das System übernehmen. Ihr Ziel war es, die Computer mehrerer Mitarbeiter zu kompromittieren und in das interne Netzwerk der Organisation einzudringen.
Unsere Experten haben diese böswillige Angriffskampagne als Operation PowerFall bezeichnet. Bislang haben die Forscher keine eindeutige Verbindung zwischen diesem Angriff und bekannten Akteuren festgestellt. Angesichts der Exploit-Ähnlichkeiten schließen sie jedoch eine Beteiligung von DarkHotel nicht aus.
Als unsere Forscher Microsoft über ihre Ergebnisse informierten, erklärte das Unternehmen, dass es bereits über die zweite Schwachstelle (im Systemdienst) in Kenntnis sei und auch einen Patch dafür erstellt hat. Als wir sie aber über die erste Schwachstelle (im IE11) informierten, hielten sie eine Ausnutzung der Schwachstelle für unwahrscheinlich.
Welche Gefahr geht von CVE-2020-1380 aus?
Die erste Schwachstelle befindet sich in der Library jscript9.dll, die alle Versionen von Internet Explorer seit IE9 standardmäßig verwenden. Mit anderen Worten: Der Exploit für diese Schwachstelle ist für moderne Versionen des Browsers gefährlich. („Modern“ ist vielleicht ein leichte Fehlbezeichnung, wenn man bedenkt, dass Microsoft die Entwicklung von Internet Explorer nach der Veröffentlichung von Edge mit Windows 10 eingestellt hat). Aber zusammen mit Edge ist der Internet Explorer in den neuesten Windows-Versionen nach wie vor standardmäßig installiert und er bleibt eine wichtige Komponente des Betriebssystems.
Selbst wenn Sie den Internet Explorer nicht freiwillig verwenden und dieser nicht Ihr Standardbrowser ist, bedeutet das nicht, dass Ihr System nicht durch einen IE-Exploit infiziert werden kann, da einige Anwendungen den Internet Explorer weiterhin verwenden. Nehmen Sie zum Beispiel Microsoft Office: Es verwendet den IE zur Anzeige von Videoinhalten in Dokumenten. Cyberkriminelle können den Internet Explorer auch über andere Schwachstellen aufrufen und ausnutzen.
Die Schwachstelle CVE-2020-1380 gehört zu den Use-After-Free-Exploits, die die fehlerhafte Verwendung des dynamischem Speicher ausnutzen. Eine detaillierte technische Beschreibung des Exploits mit Kompromittierungsindikatoren können Sie im Beitrag „Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall“ auf Securelist nachlesen.
Wie Sie sich schützen können
Microsoft veröffentlichte am 9. Juni 2020 einen Patch für CVE-2020-0986 (im Windows-Kernel). Die zweite Schwachstelle, CVE-2020-1380, wurde am 11. August gepatcht. Wenn Sie Ihre Betriebssysteme regelmäßig aktualisieren, sollten sie bereits gegen Angriffe vom Typ Operation PowerFall geschützt sein.
Zero-Day-Schwachstellen tauchen jedoch immer wieder auf. Um die Sicherheit Ihres Unternehmens zu gewährleisten, müssen Sie eine Lösung mit Anti-Exploit-Technologien verwenden, wie z. B. Kaspersky Security for Business. Eine der Funktionskomponenten ist das Exploit Prevention-Subsystem, das Angriffsversuche, bei denen Zero-Day-Schwachstellen ausgenutzt werden, identifiziert und stoppt.
Darüber hinaus empfehlen wir die Verwendung moderner Browser, die regelmäßig Sicherheitsupdates erhalten.