Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
 Schwarzbuch> 2 0 1 1 2 0 1 1 2 0 1 2 2 0 1 3 2 0 1 4 2 0 1 5 2016 2017l2018 2019 2 0 2 0 2021 2022  Presseveröffentlichungen
Schwarz-buch

W I R E D

Hacker nutzen einen Fehler aus,  den Microsoft vor  9 Jahren behoben hat


Hacker nutzen einen Fehler aus, den Microsoft vor 9 Jahren behoben hat

Mann, der am Desktop-Computer in der Dunkelkammer arbeitet
Die weit verbreitete Malware ZLoader taucht in allen Arten von kriminellem Hacking auf, von Bemühungen, die darauf abzielen, Bankpasswörter und andere sensible Daten zu stehlen, bis hin zu Ransomware-Angriffen. Jetzt hat eine ZLoader-Kampagne, die im November begann, fast 2.200 Opfer in 111 Ländern infiziert, indem sie einen Windows-Fehler missbraucht hat, den Microsoft bereits 2013 behoben hat.

Hacker verwenden seit langem eine Vielzahl von Taktiken, um Zloader an Malware-Erkennungstools vorbeizuschleichen. In diesem Fall nutzten die Angreifer laut Forschern der Sicherheitsfirma Check Point eine Lücke in der Signaturüberprüfung von Microsoft aus, der Integritätsprüfung, um sicherzustellen, dass eine Datei legitim und vertrauenswürdig ist. Erstens würden sie die Opfer dazu verleiten, ein legitimes Remote-IT-Management-Tool namens Atera zu installieren, um Zugriff und Gerätekontrolle zu erhalten. dieser Teil ist nicht besonders überraschend oder neuartig. Von dort aus mussten die Hacker jedoch immer noch ZLoader installieren, ohne dass Windows Defender oder ein anderer Malware-Scanner ihn erkannte oder blockierte.

Hier kam der fast zehn Jahre alte Fehler zum Tragen. Angreifer können eine legitime "Dynamic-Link Library"-Datei – eine gemeinsame Datei, die von mehreren Softwareteilen gemeinsam genutzt wird, um Code zu laden – ändern, um ihre Malware zu installieren. Die Ziel-DLL-Datei ist von Microsoft digital signiert, was ihre Authentizität beweist. Angreifer waren jedoch in der Lage, unauffällig ein bösartiges Skript an die Datei anzuhängen, ohne das Genehmigungsstempel von Microsoft zu beeinträchtigen.

"Wenn Sie eine Datei wie eine DLL sehen, die signiert ist, sind Sie ziemlich sicher, dass Sie ihr vertrauen können, aber das zeigt, dass das nicht immer der Fall ist", sagt Kobi Eisenkraft, ein Malware-Forscher bei Check Point. "Ich denke, wir werden mehr von dieser Angriffsmethode sehen."

Microsoft nennt seinen Codesignaturprozess "Authenticode". Es veröffentlichte 2013 einen Fix, der die Signaturüberprüfung von Authenticode strenger machte, um Dateien zu kennzeichnen, die auf diese Weise subtil manipuliert worden waren. Ursprünglich sollte der Patch allen Windows-Benutzern zur Verfügung gestellt werden, aber im Juli 2014 überarbeitete Microsoft seinen Plan und machte das Update optional.

"Als wir mit Kunden zusammenarbeiteten, um uns an diese Änderung anzupassen, stellten wir fest, dass die Auswirkungen auf bestehende Software hoch sein könnten", schrieb das Unternehmen 2014, was bedeutet, dass der Fix falsche Positive verursachte, wenn legitime Dateien als potenziell bösartig gekennzeichnet wurden. "Daher plant Microsoft nicht mehr, das strengere Überprüfungsverhalten als Standardanforderung durchzusetzen. Die zugrunde liegende Funktionalität für eine strengere Verifizierung bleibt jedoch bestehen und kann nach Ermessen des Kunden aktiviert werden."

In a statement on Wednesday, Microsoft emphasized that users can protect themselves with the fix the company released in 2013. And the company noted that, as the Check Point researchers observed in the ZLoader campaign, the vulnerability can only be exploited if a device has already been compromised or attackers directly trick victims into running one of the manipulated files that appears to be signed. “Customers who apply the update and enable the configuration indicated in the security advisory will be protected,” a Microsoft spokesperson told WIRED.

Aber während der Fix da draußen ist, und das schon seit dieser ganzen Zeit, haben viele Windows-Geräte ihn wahrscheinlich nicht aktiviert, da Benutzer und Systemadministratoren über den Patch Bescheid wissen und sich dann dafür entscheiden müssten, ihn einzurichten. Microsoft stellte 2013 fest, dass die Schwachstelle von Hackern bei "gezielten Angriffen" aktiv ausgenutzt wurde.

https://www.wired.com/story/zloader-microsoft-signature-verification-hack/