iSight deckt schwerwiegende Sicherheitslücke in Windows auf

Die IT-Sicherheitsexperten von iSight haben einen sogenannten Zero-Day Exploit in allen aktuellen Windows Versionen entdeckt. Diese Sicherheitslücke soll bereits seit Längerem von Regierungsbehörden zu Spionagezwecken ausgenutzt werden.

sand_worm_logotype-e1413241743641

Den ersten größeren Angriff startete man im Dezember 2013 auf die NATO, anschließend attackierte man im Mai 2014 Anwesende im Sicherheitsforum „Globsec“, beide Angriffe erfolgten über andere Sicherheitslücken als der oben genannten Zero-Day Lücke. Im Juni 2014 gab es Angriffe auf einen polnischen Energiekonzern über die Sicherheitslücke (CVE-2013-3906). Noch im selben Monat gab es ebenfalls Angriffe auf ein französisches Telekommunikationsunternehmen, hier nutzte man eine mit Base64-kodierte-Variante des „Black Energy“-Exploits. Die Gruppe hinter den Angriffen bezeichnet sich selbst als „Sandworm“, unter den Zielen sind bislang Regierungsbehörden, Schulen, akademische Einrichtungen, Telekommunikationsunternehmen, Energiekonzerne und allen voran die NATO.

iSIGHT_Partners_sandworm_targets_13oct2014

Die Entstehung von „Sandworm“ geht bis in das Jahr 2009 zurück, während man anfangs mit anderen Sicherheitslücken als der oben genannten Zero-Day Lücke arbeitete, scheint man mittlerweile nur noch auf den Zero-Day Exploit (CVE-2014-4114) zu setzten. Die ersten Angriffe mit (CVE-2014-4114) gab es im September 2014. Unter den größeren Zielen von (CVE-2014-4114) ist unter anderem die ukrainische Regierung und mindestens eine US-Organisation.

iSIGHT_Partners_sandworm_timeline_13oct2014

Seit der Entdeckung des Zero-Day-Exploits (CVE-2014-4114) im September 2014, hat man zusammen mit Microsoft an einer Lösung des Problems gearbeitet. Bei der Untersuchung der Sicherheitslücke ist aufgefallen, dass die Lücke im „OLE Packagemanager (packager.dll)“ betroffener Windows Versionen steckt. Der „OLE Packagemanager (packager.dll)“ erlaubt es Anwendungen wie zum Beispiel Microsoft Power Point oder Microsoft Word unter anderem auch, „.inf“-Dateien aus dem Internet nachzuladen. Die Angriffe der Gruppe „Sandworm“ wurden meistens durch infizierte Power Point Dokumente ausgeführt, beim Öffnen einer infizierten Power Point-Datei hatte der Angreifer die Möglichkeit weiteren Schadcode, getarnt als „.inf“-Datei, von einer unbekannten Quelle nachzuladen und auszuführen.

Zusammen mit iSight hat man an einem Patch zur Behebung der Sicherheitslücke gearbeitet, der Patch soll noch heute auf betroffene Systeme ausgerollt werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Ganz ehrlich… Wer hat hier was gemacht, mit wem zusammen gearbeitet und wen angegriffen? Sorry, mal wird gesagt man hat die Lücke ausgenutzt, mal hat man mit MS an der Schließung gearbeitet… Mal war es Sandstorm, mal waren es direkt andere Lücken als in der Überschrift. Der Inhalt des Artikel erschließt sich mir nicht. Sorry…

  2. Minimalwerk says:

    ich verstehe den Artikel ehrlich gesagt auch nicht :/

  3. Quelle?

  4. Die Quelle (iSight) ist unter dem Artikel verlinkt.

  5. @Thomas und Minimalwerk: Die Angriffe sollen angeblich von Kremeltreuen russischen Hackern ausgeführt worden sein (im Quellcode der Schadsoftware sollten angeblich kyrillische Schriftzeichen entdeckt worden sein.

  6. @Mondafahrt: autsch…. 😉

    @all: ich verstehe den Text auch nicht – kann jemand Klarheit schaffen? das passt doch nicht.

    Es wurde eine Sicherheitslücke gefunden, die Regierungsbehörden zum Spionieren nutzen. Erste Angriffe gab es 2013, dann 2014 auf ein Sicherheitsforum — aber halt, dabei wurde ja eine ganze anderen Lücke genutzt!!! – was soll das denn?

    Sollten das evtl 2 Artikel werden? Einer über die aktuelle Lücke und einer über die Sandwurm-Gruppe?

    So ergibt der Text kaum Sinn. Das ist wie: Wegen starken Nebels kann es auf der A4 verstärkt zu Unfällen kommen. Bereits 2010 kam es zu vielen Unfällen – die waren zwar auf der A10 und nicht wegen Nebel sondern wg. blendender Sonne – aber es geht immerhin um Autos

  7. laut iSight gehen diese Angriffe alle von der selben Gruppe aus, nur wurden eben früher andere Exploits benutzt (bspw. der „Tiff-Exploit“) als der aktuellste bekannteste für Windows Systeme.

    iSight hat während den Nachforschungen 2014 mit Microsoft zusammen gearbeitet und daher wurde das Ganze heute gepachted.

    Der Name Sandworm kam dadurch zustande, dass im Quellcode der Name Arrakis auftauchte, welcher im Roman „Dune“ erwähnt wird, in welchem auch die benannten Sandwürmer eine nicht unwesentliche Rolle spielen.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.