ESET Security-Forschern ist es gelungen, zwei bisher unbekannte Schwachstellen (Zero-Day Exploits) in Adobe-Programmen sowie in Windows-Betriebssystemen aufzudecken, die von Cyber-Angreifern für gezielte Angriffe genutzt werden könnten. Beide Hersteller wurden im Vorfeld der Veröffentlichung informiert, damit entsprechende Sicherheits-Updates ausgerollt werden konnten. [...]
Durch die Kombination beider Schwachstellen konnten die Angreifer beliebigen Code auf dem Ziel-Computer mit den größtmöglichen Rechten und minimalstem Zutun des Besitzers ausführen. Selbst ein Sandbox-Bypass war für die Angreifer möglich.
„Die Sandbox erschwert normalerweise das Ausnutzen einer Schwachstelle“, sagt ESET-Experte Anton Cherepanov. „Ein Sandbox-Bypass kann gewöhnlich nur durch das Ausnutzen einer Schwachstelle im Betriebssystem erreicht werden. In unserem raren Fall waren die Angreifer in der Lage, solche Sicherheitslücken zu finden und dann Zero-Day Exploits für den Adobe Reader und Windows Betriebssysteme zu schreiben.“
Auf welivesecurity wirft ESET einen genaueren Blick auf das „Wie?“ und die technischen Details des schädlichen Malware-Samples und die ausgenutzten Schwachstellen. Dabei betont Cherepanov, dass durch die frühe Entdeckung des schädlichen PDFs durch ESET Schlimmeres scheinbar verhindert worden sei: „Glücklicherweise enthält das Malware-Sample keinen finalen Payload. Das bringt uns zu dem Schluss, dass die Entwicklung der Malware noch nicht abgeschlossen war. Nichtsdestoweniger bewiesen die Malware-Entwickler ein hohes Maß technisches Verständnis in Bezug auf das Aufspüren von Sicherheitslücken und das Schreiben von Exploits.“
Verschmelzung von Schwachstellen
Windows und Adobe Sicherheitslücken: Zwei Zero-DaySchwachstellen sind zu einer verschmolzen. Ein mysteriöses Malware-Sample zeigt, wie es Angreifern gelingt, schädlichen Code mit höchsten Privilegien auszuführen. Bereits im späten März 2018 identifizierten ESET-Forscher ein interessantes PDF Malware-Sample. Eine eingehende Untersuchung offenbarte, dass die Malware zwei noch unbekannte Schwachstellen (0day Exploits) ausnutzte. Es handelte sich um eine Sicherheitslücke in Adobe durch Remote Code Execution sowie um eine Sicherheitslücke in Windows durch Privilege Escalation (Rechteerhöhung). Der Nutzen aus der Kombination beider Schwachstellen ist extrem wirkmächtig. Ein Angreifer kann beliebigen Code auf dem Ziel-Computer mit den größtmöglichen Rechten und minimalstem Zutun des Besitzers ausführen. Auf APT-Angriffe spezialisierte Gruppen gebrauchen regelmäßig solche Schwachstellenkombinationen, um ihre Attacken zu vollziehen – wie beispielsweise die Sednit-Gruppe im letzten Jahr.
Be the first to comment