iSight deckt schwerwiegende Sicherheitslücke in Windows auf

14. Oktober 2014 Kategorie: Backup & Security, Windows, geschrieben von:

Die IT-Sicherheitsexperten von iSight haben einen sogenannten Zero-Day Exploit in allen aktuellen Windows Versionen entdeckt. Diese Sicherheitslücke soll bereits seit Längerem von Regierungsbehörden zu Spionagezwecken ausgenutzt werden.

sand_worm_logotype-e1413241743641

Den ersten größeren Angriff startete man im Dezember 2013 auf die NATO, anschließend attackierte man im Mai 2014 Anwesende im Sicherheitsforum „Globsec“, beide Angriffe erfolgten über andere Sicherheitslücken als der oben genannten Zero-Day Lücke. Im Juni 2014 gab es Angriffe auf einen polnischen Energiekonzern über die Sicherheitslücke (CVE-2013-3906). Noch im selben Monat gab es ebenfalls Angriffe auf ein französisches Telekommunikationsunternehmen, hier nutzte man eine mit Base64-kodierte-Variante des „Black Energy“-Exploits. Die Gruppe hinter den Angriffen bezeichnet sich selbst als „Sandworm“, unter den Zielen sind bislang Regierungsbehörden, Schulen, akademische Einrichtungen, Telekommunikationsunternehmen, Energiekonzerne und allen voran die NATO.

iSIGHT_Partners_sandworm_targets_13oct2014

Die Entstehung von „Sandworm“ geht bis in das Jahr 2009 zurück, während man anfangs mit anderen Sicherheitslücken als der oben genannten Zero-Day Lücke arbeitete, scheint man mittlerweile nur noch auf den Zero-Day Exploit (CVE-2014-4114) zu setzten. Die ersten Angriffe mit (CVE-2014-4114) gab es im September 2014. Unter den größeren Zielen von (CVE-2014-4114) ist unter anderem die ukrainische Regierung und mindestens eine US-Organisation.

iSIGHT_Partners_sandworm_timeline_13oct2014

Seit der Entdeckung des Zero-Day-Exploits (CVE-2014-4114) im September 2014, hat man zusammen mit Microsoft an einer Lösung des Problems gearbeitet. Bei der Untersuchung der Sicherheitslücke ist aufgefallen, dass die Lücke im „OLE Packagemanager (packager.dll)“ betroffener Windows Versionen steckt. Der „OLE Packagemanager (packager.dll)“ erlaubt es Anwendungen wie zum Beispiel Microsoft Power Point oder Microsoft Word unter anderem auch, „.inf“-Dateien aus dem Internet nachzuladen. Die Angriffe der Gruppe „Sandworm“ wurden meistens durch infizierte Power Point Dokumente ausgeführt, beim Öffnen einer infizierten Power Point-Datei hatte der Angreifer die Möglichkeit weiteren Schadcode, getarnt als „.inf“-Datei, von einer unbekannten Quelle nachzuladen und auszuführen.

Zusammen mit iSight hat man an einem Patch zur Behebung der Sicherheitslücke gearbeitet, der Patch soll noch heute auf betroffene Systeme ausgerollt werden.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Quelle: iSight |

Über den Autor:

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

Der hat bereits 1477 Artikel geschrieben.