MysterySnail kriecht durch Zero-Day-Lücke

Unsere Technologien haben den Exploit einer bisher unbekannten Schwachstelle im Win32k-Treiber entdeckt.

Unsere Behavioral Detection Engine und Technologien für Exploit-Prävention haben vor Kurzem den Exploit einer Schwachstelle im Windows-Kerneltreiber Win32k entdeckt. Darauf folgte eine Ermittlung der kriminellen Aktivitäten, die hinter diesem Exploit stecken. Wir haben Microsoft über die Schwachstelle CVE-2021-40449 in Kenntnis gesetzt und das Unternehmen hat am Patch-Dienstag, den 12. Oktober ein Update veröffentlicht, das einen Bugfix für diesen Softwarefehler enthält. Aus diesem Grund empfehlen wir, wie immer am Microsoft-Patchday, das Update für Windows zeitnah einzuspielen.

Wofür CVE-2021-40449 ausgenutzt wurde

CVE-2021-40449 ist eine Use-After-Free-Schwachstelle, die sich in der NtGdiResetDC-Funktion des Win32k-Treibers befindet. Eine detaillierte Beschreibung finden Sie auf der Securelist. Kurz gefasst, kann die Schwachstelle zu einem Leak der Kernelmodul-Adressen im Computerspeicher führen. Cyberkriminelle verschaffen sich durch das Leak höhere Nutzerrechte, die dann bei einem weiteren schädlichen Prozess eingesetzt werden.

Durch die Rechteerweiterung war es den Angreifern möglich MysterySnail herunterzuladen und auszuführen. MysterySnail ist ein Remote Access Trojaner (abgekürzt RAT), also eine Schadsoftware, die unbemerkte Fernsteuerung und administrative Kontrolle eines fremden Rechners ermöglicht.

Fähigkeiten von MysterySnail

Der Trojaner beginnt Informationen im infizierten System zu sammeln, die dann an einen Command-and-Control-Server gesendet werden. Außerdem ist es möglich einige Befehle über MysterySnail auszuführen. Die Angreifer können beispielsweise spezifische Dateien erstellen, lesen oder löschen, einen Prozess erstellen oder löschen, eine Verzeichnisliste erhalten oder einen Proxy-Kanal zum Versenden von Daten öffnen.

Zu den weiteren Features von MysterySnail zählen u. A. die Fähigkeiten die Liste mit den verbundenen Laufwerken einzusehen und die Verbindung mit externen Laufwerken im Hintergrund zu überwachen. Außerdem kann der Trojaner die interaktive Shell cmd.exe starten (indem die cmd.exe-Datei unter einem anderen Namen in einen temporären Ordner kopiert wird).

Angriffe über CVE-2021-40449

Die Exploits dieser Schwachstelle betreffen eine Reihe an Betriebssystemen der Microsoft Windows-Familie: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (Build 14393), Server 2016 (Build 14393), 10 (Build 17763) und Server 2019 (Build 17763). Laut unseren Experten wird der Exploit besonders für die Rechteerweiterung auf den Server-Versionen des Betriebssystems verwendet.

Nach der Entdeckung der Bedrohung konnten unsere Experten feststellen, dass der Exploit, über den die MysterySnail-Malware heruntergeladen wird, für Spionage-Kampagnen gegen IT-Unternehmen, diplomatische Einrichtungen und Militär- sowie Verteidigungsorganisationen eingesetzt wird.

Dank dem Malware-Analysetool Kaspersky Threat Attribution Engine entdeckten unsere Experten Ähnlichkeiten im Code sowie der Funktionsweise zwischen MysterySnail und der Malware, die von der IronHusky-Gruppe angewendet wird. Des Weiteren wurden 2012 einige der C&C-Server-Adressen von einer chinesischsprachigen APT-Gruppe verwendet.

In unserem Securelist-Artikel finden Sie weitere Informationen, einschließlich der Gefährdungsindikatoren des Hackangriffs.

So können Sie sich schützen

Installieren Sie zuerst das aktuelle Sicherheitsupdate von Microsoft mit den Patches für diese Schwachstelle. Außerdem ist es empfehlenswert eine robuste Sicherheitslösung auf Ihren Geräten zu verwenden, die den Exploit von Schwachstellen auf Computern mit Internetzugang proaktiv erkennt und abwehrt, um sich vor zukünftigen Zero-Day-Schwachstellen zu schützen. Unsere Behavioral Detection Engine und Technologien für Exploit-Prävention, die in der Schutzlösung Kaspersky Endpoint Security for Business enthalten sind, erkennen CVE-2021-40449.

Tipps