Die Zero-Day- Sicherheitslücke – leichter kamen Hacker nur selten ans Ziel
17. Juli 2023Die Zero-Day- Sicherheitslücke – leichter kamen Hacker nur selten ans Ziel
San Francisco, 17.7.2023
Eine ungepatchte Zero-Day-Sicherheitslücke ( CVE-2023-36884) zielt auf diejenigen ab, die sich für die Ukraine interessieren.
Microsoft kennt diese Schwachstelle. So ist auch bekannt, dass sie bei der Remotecodeausführung aktiv wird. Die Angreifer setzen speziell gestaltete Microsoft Office-Dokumente als Schaddatei ein. Wird sie geöffnet, können die Angreifer die Remote-Codeausführung iübernehmen.
Microsoft sieht den Ursprung in einer Phishing-Kampagne der Hacker- Gruppe „Storm-0978“ . Sie konzentrierte sich auf Verteidigungs- und Regierungsbehörden in Europa und Nordamerika. Dazu setzte sie einen Köder im Zusammenhang mit dem Ukrainischen Weltkongress, ein.
In einer weiteren Variante kam ein gefälschter OneDrive-Loader zum Einsatz, der Ähnlichkeiten zu RomCom – einem primären Hintertür-Tool. – hatte.
Ein Teil dieser Hacker- Gruppe hatte sich auf die Verbreitung trojanisierter Versionen beliebter Software. spezialisiert.
Zu den beliebten Tools, die für diese Installationen verwendet werden, gehören trojanisierte Versionen von Solarwinds Network Performance Monitor, KeePass, Signal und Adobe-Produkten. Scheindomänen, die die reale Domain nachahmen, werden registriert und als überzeugende Tarnung für die infizierte Software verwendet.
Microsoft weist darauf hin, dass diese Gruppe auch an Ransomware-Angriffen beteiligt ist, diese jedoch weniger zielgerichtet sind und nichts mit Spionageoperationen zu tun haben. Angriffe, die in diesem Bereich als zu Storm-0978 gehörend identifiziert wurden, hatten Auswirkungen auf die Finanz- und Telekommunikationsbranche.
Microsoft gibt den folgenden Rat für Unternehmen, die sich Sorgen über die potenzielle Gefahr einer Kompromittierung durch die jüngsten Angriffe machen:
CVE-2023-36884 spezifische Empfehlungen
Kunden, die Microsoft Defender für Office 365 verwenden, sind vor Anhängen geschützt, die versuchen, CVE-2023-36884 auszunutzen.
In aktuellen Angriffsketten verhindert die Verwendung der Regel zur Reduzierung der Angriffsfläche aller Office-Anwendungen die Erstellung untergeordneter Prozesse.
Organisationen, die diese Schutzmaßnahmen nicht nutzen können, können den Registrierungsschlüssel FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION festlegen, um eine Ausnutzung zu verhindern. Bitte beachten Sie, dass diese Registrierungseinstellungen zwar die Ausnutzung dieses Problems eindämmen würden, sie jedoch die reguläre Funktionalität für bestimmte Anwendungsfälle im Zusammenhang mit diesen Anwendungen beeinträchtigen könnten.
Sie könnten auch erwägen, ausgehenden SMB-Verkehr zu blockieren.
Wir melden Schwachstellen nicht nur – wir identifizieren sie und priorisieren Maßnahmen.
Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Behalten Sie Schwachstellen im Auge, indem Sie Malwarebytes Vulnerability and Patch Management nutzen.