Der 36-Stunden-Exploit - eine Trockenübung-
ID: 1950487
Sophos-Untersuchung beschreibt, wie Cyberkriminelle einen kritischen Microsoft Office-Patch umgehen: sie passen einen neuartigen Remote-Code-Exploit (RCE) an ein anderes Dateiformat an und verwenden ihn dann nur 36 Stunden lang
Vom CAB zum "CAB-losen" Exploit. Eine Trockenübung?
Im September 2021 veröffentlichte Microsoft einen Patch, der Cyberkriminelle daran hindert, schädlichen Code auszuführen, der in ein Word-Dokument eingebettet ist, das ein Microsoft Cabinet (CAB)-Archiv herunterlädt, das wiederum eine schädliche ausführbare Datei enthält. Sophos Forscher:innen entdeckten, dass Angreifer den ursprünglichen Exploit überarbeitet haben, indem sie das schädliche Word-Dokument in einem speziell gestalteten RAR-Archiv platzierten. Die neuere, "CAB-lose" Form des Exploits umgeht erfolgreich den ursprünglichen Patch.
Die Daten zeigen, dass der geänderte Exploit etwa 36 Stunden lang in freier Wildbahn genutzt wurde. Laut den Sophos-Expert:innen könnte die begrenzte Lebensdauer des aktualisierten Angriffs bedeuten, dass es sich um ein Trockenübung handelte und die Angriffsmethorde bei zukünftigen Attacken wieder auftreten könnte.
"Theoretisch hätte dieser Angriffsansatz nicht funktionieren dürfen, aber er hat funktioniert", sagt Andrew Brandt, Principal Threat Researcher bei Sophos. "Die Vor-Patch-Versionen des Angriffs beinhalteten schädlichen Code, der in eine Microsoft Cabinet-Datei verpackt war. Als Microsofts Patch diese Lücke schloss, entdeckten Angreifer ein Proof-of-Concept, das zeigte, wie man die Malware in einem anderen komprimierten Dateiformat, einem RAR-Archiv, bündeln kann. RAR-Archive wurden schon früher zur Verbreitung von Schadcode verwendet, aber der hier verwendete Prozess war ungewöhnlich kompliziert. Wahrscheinlich war es nur deshalb erfolgreich, weil der Aufgabenbereich des Patches sehr eng definiert war und weil das WinRAR-Programm, das die Benutzer zum Öffnen des RAR-Archivs benötigen, sehr fehlertolerant ist und sich nicht daran zu stören scheint, wenn das Archiv fehlerhaft ist, beispielsweise weil es manipuliert wurde."
Die Infektionskette
Sophos fand heraus, dass die Angreifer:innen ein ungewöhnliches RAR-Archiv erstellt hatten, bei dem ein PowerShell-Skript dem schädlichen Word-Dokument vorangestellt war, das im Archiv gespeichert war.
Die Angreifer erstellten und verteilten Spam-E-Mails, die diese deformierte RAR-Datei als Attachment enthielten. In den E-Mails wurden die Empfänger:innen aufgefordert, die RAR-Datei zu entpacken, um auf das Word-Dokument zuzugreifen. Das Öffnen des Word-Dokuments löste einen Prozess aus, der das Front-End-Skript ausführte, was schließlich zu einer Infektion mit der Formbook-Malware führte.
"Diese Untersuchung erinnert uns daran, dass Patches allein nicht in jedem Fall vor allen Schwachstellen schützen können", so Brandt. "Das Festlegen von Beschränkungen, die verhindern, dass ein Benutzer versehentlich ein bösartiges Dokument auslöst, hilft zwar, aber die Leute können immer noch dazu verleitet werden, auf die Schaltfläche 'Inhalt aktivieren' zu klicken. Es ist daher äußerst wichtig, die Mitarbeiter zu schulen und sie daran zu erinnern, dass sie bei per E-Mail verschickten Dokumenten misstrauisch sein sollten. Vor allem, wenn sie in ungewöhnlichen oder ungewohnten komprimierten Dateiformaten von Personen oder Unternehmen kommen, die sie nicht kennen. Im Zweifelsfall sollten sie immer beim Absender oder bei einem IT-Mitarbeiter nachfragen.“
Bei der Sicherheitslücke CVE-2021-40444 handelt es sich um eine kritische Schwachstelle für die Remotecodeausführung (RCE), die Kriminelle ausnutzen können, um unbemerkt beliebigen Code oder Befehle auf einem Zielcomputer auszuführen. Microsoft hat im September eine dringende Entschärfung und einen Patch veröffentlicht. Sophos Forscher:innen entdeckten die 36-Stunden-Kampagne mit der neuen Schwachstelle Ende Oktober.
Sophos Endpoint-Produkte erkennen die waffenfähigen Archivdateien, die den "CAB-less -40444"-Exploit enthalten, als Troj/PSDL-KP
Weitere Informationen finden Sie in dem Artikel auf SophosLabs Uncut.
LinkedIn: https://www.linkedin.com/groups/9054356/
Twitter: @sophos_info
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 22.12.2021 - 11:56 Uhr
Sprache: Deutsch
News-ID 1950487
Anzahl Zeichen: 5332
Kontakt-Informationen:
Stadt:
Wiesbaden
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 471 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Der 36-Stunden-Exploit - eine Trockenübung-"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
Vakuum Reinigung Ofen Markt Wettbewerbsszenario, Treiber und Herausforderungen Analyse Prognose 2031 ...
Laut einer Studie über Vakuum Reinigung Ofen Markt, die vor kurzem in der riesigen veröffentlicht von Market.Biz, der globale Markt ist sehr wahrscheinlich zu erhalten erhebliche Impulse in der Zukunft. Der Bericht mit dem Titel "International Vakuum Reinigung Ofen Market Research Report 2021
Next Level ICS: Die Weichen sind gestellt ...
Die ICS GmbH startet zum 01.01.2022 mit neuem Geschäftsführer. Michael Hils stellt sich der Herausforderung und blickt erwartungsfroh in eine Zukunft voller spannender Aufgaben. Der bisherige geschäftsführende Gesellschafter Cid Kiefer wechselt in den Beirat des seit 55 Jahren am Markt bestehend
Day-Domains: Wir besorgen Ihnen Mon.day, Tues.day, Wednes.day, Thurs.day, Fri.day, Satur.day oder Sun.day in der Sunrise Period ...
Sie können jetzt Mon.day, Tues.day, Wednes.day, Thurs.day, Fri.day, Satur.day oder Sun.day bekommen. Oder wollen Sie die ganze Woche? Wir können Ihnen kurzfristig die entsprechenden Marken besorgen und Sie können sich an der Sunrise-Period der Day-Domains beteiligen. Natürlich geht das auc
HiSolutions AG sagt Omikron den Kampf an: Kostenlose Business Continuity-Leitfragen zur Stärkung der Resilienz veröffentlicht ...
Mit Blick auf die Ausbreitung der Omikron-Variante in Südafrika und England steigt auch in Deutschland die Sorge vor weiteren Einschränkungen und einer Überlastung des Gesundheitssystems. Was allerdings oft übersehen wird: Omikron hat mit hoher Wahrscheinlichkeit auch Einfluss auf das innerbetri
