Hacker nutzen einen Fehler aus, den
Microsoft vor 9 Jahren behoben hat
Hacker nutzen einen Fehler aus, den Microsoft
vor 9 Jahren behoben hat
Mann, der am Desktop-Computer in der
Dunkelkammer arbeitet
Die weit verbreitete Malware ZLoader taucht in
allen Arten von kriminellem Hacking auf, von Bemühungen, die darauf
abzielen, Bankpasswörter und andere sensible Daten zu stehlen, bis hin
zu Ransomware-Angriffen. Jetzt hat eine ZLoader-Kampagne, die im
November begann, fast 2.200 Opfer in 111 Ländern infiziert, indem sie
einen Windows-Fehler missbraucht hat, den Microsoft bereits 2013 behoben
hat.
Hacker verwenden seit langem eine Vielzahl von
Taktiken, um Zloader an Malware-Erkennungstools vorbeizuschleichen. In
diesem Fall nutzten die Angreifer laut Forschern der Sicherheitsfirma
Check Point eine Lücke in der Signaturüberprüfung von Microsoft aus, der
Integritätsprüfung, um sicherzustellen, dass eine Datei legitim und
vertrauenswürdig ist. Erstens würden sie die Opfer dazu verleiten, ein
legitimes Remote-IT-Management-Tool namens Atera zu installieren, um
Zugriff und Gerätekontrolle zu erhalten. dieser Teil ist nicht besonders
überraschend oder neuartig. Von dort aus mussten die Hacker jedoch immer
noch ZLoader installieren, ohne dass Windows Defender oder ein anderer
Malware-Scanner ihn erkannte oder blockierte.
Hier kam der fast zehn Jahre alte Fehler zum
Tragen. Angreifer können eine legitime "Dynamic-Link Library"-Datei –
eine gemeinsame Datei, die von mehreren Softwareteilen gemeinsam genutzt
wird, um Code zu laden – ändern, um ihre Malware zu installieren. Die
Ziel-DLL-Datei ist von Microsoft digital signiert, was ihre
Authentizität beweist. Angreifer waren jedoch in der Lage, unauffällig
ein bösartiges Skript an die Datei anzuhängen, ohne das
Genehmigungsstempel von Microsoft zu beeinträchtigen.
"Wenn Sie eine Datei wie eine DLL sehen, die
signiert ist, sind Sie ziemlich sicher, dass Sie ihr vertrauen können,
aber das zeigt, dass das nicht immer der Fall ist", sagt Kobi
Eisenkraft, ein Malware-Forscher bei Check Point. "Ich denke, wir werden
mehr von dieser Angriffsmethode sehen."
Microsoft nennt seinen Codesignaturprozess
"Authenticode". Es veröffentlichte 2013 einen Fix, der die
Signaturüberprüfung von Authenticode strenger machte, um Dateien zu
kennzeichnen, die auf diese Weise subtil manipuliert worden waren.
Ursprünglich sollte der Patch allen Windows-Benutzern zur Verfügung
gestellt werden, aber im Juli 2014 überarbeitete Microsoft seinen Plan
und machte das Update optional.
"Als wir mit Kunden zusammenarbeiteten, um uns
an diese Änderung anzupassen, stellten wir fest, dass die Auswirkungen
auf bestehende Software hoch sein könnten", schrieb das Unternehmen
2014, was bedeutet, dass der Fix falsche Positive verursachte, wenn
legitime Dateien als potenziell bösartig gekennzeichnet wurden. "Daher
plant Microsoft nicht mehr, das strengere Überprüfungsverhalten als
Standardanforderung durchzusetzen. Die zugrunde liegende Funktionalität
für eine strengere Verifizierung bleibt jedoch bestehen und kann nach
Ermessen des Kunden aktiviert werden."
In a statement on Wednesday, Microsoft
emphasized that users can protect themselves with the fix the company
released in 2013. And the company noted that, as the Check Point
researchers observed in the ZLoader campaign, the vulnerability can only
be exploited if a device has already been compromised or attackers
directly trick victims into running one of the manipulated files that
appears to be signed. “Customers who apply the update and enable the
configuration indicated in the security advisory will be protected,” a
Microsoft spokesperson told WIRED.
Aber während der Fix da draußen ist, und das
schon seit dieser ganzen Zeit, haben viele Windows-Geräte ihn
wahrscheinlich nicht aktiviert, da Benutzer und Systemadministratoren
über den Patch Bescheid wissen und sich dann dafür entscheiden müssten,
ihn einzurichten. Microsoft stellte 2013 fest, dass die Schwachstelle
von Hackern bei "gezielten Angriffen" aktiv ausgenutzt wurde.
https://www.wired.com/story/zloader-microsoft-signature-verification-hack/