Bei der bereits bekannten Schwachstelle "CVE-2021-1732" [1] handelt es sich um einen Zero-Day-Exploit in win32kfull.sys, der es auf Windows-10-Betriebssysteme abgesehen hat. Bei der Analyse dieser Sicherheitslücke fanden Security-Forscher von Kaspersky einen weiteren Zero-Day-Exploit, den Sie im Februar 2021 an Microsoft meldeten. Nach der Bestätigung, dass es sich tatsächlich um einen Zero-Day handelt, erhielt die Schwachstelle die Bezeichnung "CVE-2021-28310" [2]. Am 13. April 2021 wurde ein Patch für die Sicherheitslücke veröffentlicht [3].

Laut den Forschern wird der Exploit in freier Wildbahn verwendet – möglicherweise von mehreren Bedrohungsakteuren. Es handelt sich um einen sogenannten EoP-Exploit (Escalation of Privilege), der sich im Desktop Window Manager befindet und mit dem Angreifer beliebigen Code auf dem Computer eines Opfers ausführen können.

Es sei wahrscheinlich, dass dieser Exploit zusammen mit weiteren Browser-Exploits verwendet wird, um Erkennung innerhalb einer Sandbox zu entgehen und um Systemberechtigungen für den weiteren Zugriff zu erhalten. Bei der ersten Analyse konnte Kaspersky nicht die gesamte Infektionskette ermitteln. Daher ist noch nicht bekannt, ob der Exploit mit einem anderen Zero-Day-System oder mit bekannten, gepatchten Sicherheitslücken verwendet wird.

jm

[1] https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/
[2] https://securelist.com/zero-day-vulnerability-in-desktop-window-manager-cve-2021-28310-used-in-the-wild/101898/
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28310