Meldung

MysterySnail: Zero-Day-Exploit für Windows aufgetaucht

Kaspersky-Experten haben einen neuen Zero-Day-Exploit entdeckt. "MysterySnail" wurde im Rahmen der Analyse einer Reihe von Angriffen zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern identifiziert; zuvor hatten die automatisierten Erkennungstechnologien die Angriffe erfasst. Im Visier der Angreifer standen IT-Unternehmen, Militär- und Verteidigungsorganisationen sowie diplomatische Einrichtungen.
In der ersten Jahreshälfte haben Kaspersky-Experten eine Zunahme von Zero-Day-Angriffen beobachtet [1]. Dabei werden unbekannte Softwarefehler ausgenutzt, die bereits von Angreifern entdeckt wurden, von denen aber der Anbieter noch keine Kenntnis hat. Dementsprechend steht kein Patch zur Verfügung und die Wahrscheinlichkeit eines erfolgreichen Angriffs steigt.

Die Technologien von Kaspersky haben dabei eine Reihe von Angriffen erkannt, die einen Exploit zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern verwendeten. Dieser Exploit hatte viele Debug-Strings von einem älteren, öffentlich bekannten Exploit für die Schwachstelle CVE-2016-3309, eine genauere Analyse ergab jedoch, dass es sich um einen neuen Zero-Day handelt. Kaspersky-Forscher tauften diesen Aktivitäten-Cluster MysterySnail.

Aufgrund der entdeckten Code-Ähnlichkeit und der Wiederverwendung der Command-and-Control (C&C)-Infrastruktur bringen die Kaspersky-Experten diese Angriffe mit der berüchtigten IronHusky-Gruppe und chinesischsprachigen APT-Aktivitäten aus dem Jahr 2012 in Verbindung. Bei der Analyse der beim Zero-Day-Exploit verwendeten Malware-Payload fand Kaspersky heraus, dass Varianten dieser Malware in weit verbreiteten Spionagekampagnen gegen IT-Firmen, Militär- und Verteidigungsunternehmen sowie diplomatische Einrichtungen eingesetzt wurden. Die Sicherheitslücke wurde Microsoft gemeldet und am 12. Oktober 2021 im Rahmen des Oktober-Patch-Tuesdays gepatcht.
13.10.2021/dr

Tipps & Tools

TPM-Reglementierungen in Windows 11 [18.11.2021]

Das neue Windows 11 erklärt das Trusted Platform Module 2.0 zur Pflicht – ob aus guten Gründen, untersuchen wir in unserem Online-Artikel. In diesem Zusammenhang erläutern wir unter anderem auch, wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt. [mehr]

Fake-Onlineshops und -sites entlarven [13.11.2021]

Spätestens wenn Ihnen eine Website oder gar ein Onlineshop komisch vorkommt und unsicher erscheint, empfielt sich eine genauere Untersuchung – schließlich gilt es zu vermeiden, Opfer der zahllosen Scammer und Onlinekriminellen zu werden. Dabei unterstützt Siedie Webseite "Scamadviser", die verschiedene Vertrauensquellen durchforstet. [mehr]

Fachartikel

TPM-Reglementierungen in Windows 11 [17.11.2021]

Seit Anfang Oktober verteilt Microsoft die neue Version Windows 11. Durch den Umstieg auf die jüngste Ausgabe des Betriebssystems rückt das Thema Trusted Platform Module in den Fokus von IT-Verantwortlichen. Wir erklären, was TPM für die Sicherheit des PCs bedeutet und wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen