Microsoft SmartScreen zielt darauf ab, Benutzer unter anderem vor potenziell gefährlichen Downloads zu schützen, indem es ein "Mark of the Web (MotW)"-Flag setzt, wenn Dateien aus dem Internet heruntergeladen werden. Die Lücke CVE-2024-21412 jedoch untergräbt diesen Schutz und wird bereits aktiv von Cyberkriminellen ausgenutzt. Hierzu gehört die APT-Gruppe "Water Hydra", auch bekannt als DarkCasino. Diese Gruppe, die seit 2021 für ihre Angriffe auf den Finanzsektor bekannt ist, verwendet Social Engineering, um Opfer in Foren zum Thema Finanzhandel zu ködern. Ihre Angriffe richten sich gegen Banken, Plattformen für Kryptowährungen, sowie Forex- und Aktienhandelsplattformen weltweit.

Die Schwachstelle gilt als "Zero Day", da sie vor der Veröffentlichung des Patches durch Microsoft von den Angreifern entdeckt und ausgenutzt wurde. Das Ausnutzen der Lücke erfolgt durch das Vorspiegeln eines harmlosen Bildaufrufs, während im Hintergrund schädlicher Code heruntergeladen wird, der das System des Opfers kompromittiert.

Lücke einfach zu verwenden

Die Entdeckung einer zweiten Gruppe, die die Schwachstelle ebenfalls ausnutzt, verdeutlicht laut Trend Micro derweil die Schwierigkeiten bei der Einschätzung des Ausmaßes, in dem Zero-Day-Schwachstellen von Cyberkriminellen genutzt werden. Diese Unsicherheit betone die Notwendigkeit einer raschen Reaktion von Herstellern auf die Meldung solcher Sicherheitslücken, um Nutzer effektiv zu schützen. Der Fall CVE-2024-21412 illustriere die kontinuierliche Bedrohung durch hochentwickelte Cyberangriffe und die Wichtigkeit einer proaktiven Sicherheitsstrategie.

Richard Werner, Business Consultant bei Trend Micro, zur Bedeutung der Schwachstelle: "Die Lücke ist einfach zu verwenden und wird deshalb in das Tool-Set von Cyberangreifern integriert werden. Die Lücke demonstriert die grundsätzliche Herausforderung für Unternehmen: Die Anzahl der Softwareschwachstellen ist in den letzten Jahren dramatisch angestiegen. Das BSI spricht von 400 Stück pro Tag im Jahr 2023. Cyberangreifer wissen, dass Unternehmen nicht alles patchen (können). Sie verwenden deshalb eine Auswahl verschiedenster Lücken, die über kurz oder lang zum Erfolg führen wird.

Damit ändert sich auch die Seite der Verteidigung. Nach unserer Risikoanalyse-Statistiken sind in einem durchschnittlichen Unternehmen etwa 11 Prozent der Systeme in kritischem Sicherheitszustand, sprich es fehlen unter anderem Patches für Sicherheitslücken, die Cyberangreifer aktiv ausnutzen. Oft liegt das nicht daran, dass Menschen bewusst Fehler machen, sondern dass die geschaffenen Bedingungen es nicht anders erlauben. Hier gilt es, wie u.a. die Europäische Union in der NIS 2 Direktive fordert, Cyberrisiko Management zu betreiben. Sind die Lücken nicht vermeidbar, dann müssen sie mindestens überwacht und jegliche Anomalien sofort untersucht werden."