Im Normalfall müssen Sicherheitslösungen erst auf neue Schwachstellen geschult werden; manchmal tritt aber auch der Umkehrfall ein und Kaspersky Lab Technologien unterrichten uns über neue Zero-Day-Exploits: So hat unsere Automatic-Exploit-Prevention-Technologie kürzlich eine neue Art des Cyberangriffs entdeckt, bei dem versucht wurde, einen zuvor unbekannten Exploit für eine bislang unentdeckte Betriebssystem-Schwachstelle zu nutzen.
Im Verlauf der Fallanalyse fanden unsere Experten heraus, dass sich die Schwachstelle in win32k.sys, einer Win32-Treiberdatei, befand. Natürlich wurde Microsoft unverzüglich von uns über das Problem unterrichtet, um schnellstmöglich einen Sicherheitspatch erstellen zu können. Am 9. Oktober wurde die Sicherheitslücke dann offiziell bekannt gegeben und ein entsprechendes Update veröffentlicht, das unter anderem als Patch der Schwachstelle CVE-2018-8453 diente.
Wie gefährlich ist bzw. war die Schwachstelle?
Unseren Experten zufolge hat Malware die Schwachstelle ausgenutzt, um ausreichende Berechtigungen für die Persistenz auf dem Computer eines Opfers zu erhalten. Demnach kann sie möglicherweise als sehr gefährlich eingestuft werden, da sie Angreifern die volle Kontrolle über den Rechner ihrer Opfers geben kann. Darüber hinaus zielte sie auf möglichst viele verschiedene MS Windows-Builds ab, darunter auch MS Windows 10 RS4.
Unsere Sicherheitslösungen haben mehrere Angriffe unter Verwendung dieser Schwachstelle entdeckt. Die meisten Opfer des Zero-Day-Exploits konnten allerdings im Nahen Osten lokalisiert werden. Unsere Experten sind sich zudem sicher, dass es sich hierbei um einen besonders präzisen zielgerichteten Angriff gehandelt hat – nach Offenlegung der Schwachstelle könnte die Anzahl ähnlicher Fälle allerdings weiterhin steigen.
Weitere Informationen über alle technischen Details des Angriffs finden Sie in diesem Securelist-Artikel.
So können Sie sich schützen
- Installieren Sie umgehend den von Microsoft veröffentlichten Patch.
- Aktualisieren Sie die in Ihrem Unternehmen verwendete Software regelmäßig auf die neueste Version.
- Verwenden Sie Sicherheitsprodukte mit Schwachstellenanalyse- und Patch-Management-Funktionen, um Aktualisierungsprozesse zu automatisieren.
- Verwenden Sie robuste Sicherheitslösungen, die mit verhaltensbasierten Erkennungsfunktionen ausgestattet sind, um effektiven Schutz vor unbekannten Bedrohungen und Zero-Day-Exploits zu gewährleisten.
Viele unserer Technologien erkennen den Exploit dieser Zero-Day-Schwachstelle. Zum einen handelt es sich hierbei um die Advanced-Sandboxing- und Anti-Malware-Engine für unsere Kaspersky Anti-Targeted-Attack-Plattform (eine Lösung, um Schutz vor APT-Bedrohungen zu bieten), und zum anderen um die automatische Exploit Prevention, ein integrales Subsystem von Kaspersky Endpoint Security for Business.