Share
Beitragsbild zu Kaspersky findet Zero-Day-Exploit in Desktop Window Manager

Kaspersky findet Zero-Day-Exploit in Desktop Window Manager

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 [1] der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit [2] im Desktop Window Manager. Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung gebracht werden. Eine beliebige Code-Ausführung seitens Cyberkriminellen auf dem Opfer-Computer wäre möglich.

Bei Zero-Day-Schwachstellen handelt es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung können Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.

Bei der Analyse des Exploits CVE-2021-1732 fanden die Experten von Kaspersky einen weiteren Zero-Day-Exploit und meldeten ihn im Februar 2021 an Microsoft. Nach der Bestätigung, dass es sich tatsächlich um einen Zero-Day handelt, erhielt die Schwachstelle die Bezeichnung CVE-2021-28310.

Laut den Forschern wird dieser Exploit in freier Wildbahn verwendet – möglicherweise von mehreren Bedrohungsakteuren. Es handelt sich um einen sogenannten EoP-Exploit (Escalation of Privilege), der sich im Desktop Window Manager befindet und mit dem Angreifer beliebigen Code auf dem Computer eines Opfers ausführen können.

Wahrscheinlich wird dieser Exploit zusammen mit weiteren Browser-Exploits verwendet, um Erkennung innerhalb einer Sandbox zu entgehen und um Systemberechtigungen für den weiteren Zugriff zu erhalten. Bei der ersten Analyse durch Kaspersky konnte nicht die gesamte Infektionskette ermittelt werden. Daher ist noch nicht bekannt, ob der Exploit mit einem anderen Zero-Day-System oder mit bekannten, gepatchten Sicherheitslücken verwendet wird.

„Der Exploit wurde durch unsere fortschrittliche Exploit-Prevention-Technologie und die damit verbundenen Erkennungsaufzeichnungen identifiziert“, erklärt Boris Larin, Sicherheitsexperte bei Kaspersky. „Wir haben in den vergangenen Jahren eine Vielzahl von Exploit-Schutztechnologien in unsere Produkte integriert, die bereits mehrere Zero-Days erkannt haben und damit ihre Wirksamkeit immer wieder unter Beweis stellen. Wir werden den Schutz unserer Nutzer weiter verbessern, indem wir unsere Technologien kontinuierlich optimieren und mit Drittanbietern zusammenarbeiten, um Schwachstellen zu beheben und das Internet für alle sicherer zu machen.“

Am 13. April 2021 wurde ein Patch für die Sicherheitslücke CVE-2021-28310 veröffentlicht [3].

Kaspersky-Produkte erkennen diesen Exploit als:

.              HEUR:Exploit.Win32.Generic

.              HEUR:Trojan.Win32.Generic

.              PDM:Exploit.Win32.Generic

Kaspersky-Empfehlungen zum Schutz vor Zero-Day-Exploits

  • Umgehend die verfügbaren Patches für die entdeckte Sicherheitslücke installieren, damit Cyberkriminelle letztere nicht länger ausnutzen können. Sicherheitslücken- und Patch-Management-Funktionen in einer Endpoint-Protection-Lösung wie Kaspersky Endpoint Security for Business [4] können hierbei unterstützen.
  • Das SOC-Team sollte stets Zugriff auf aktuelle Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal [5] ist ein zentraler Zugangspunkt für die Threat Intelligence des Unternehmens und bietet umfassende Daten zu Cyberangriffen.
  • Neben einer Endpoint-Sicherheitslösung sollte zudem ein dedizierter Schutz vor Bedrohungen auf Netzwerkebene implementiert werden. Kaspersky Anti Targeted Attack Platform [6] erkennt diese frühzeitig und behebt diese.

Weitere Informationen zum entdeckten Exploit sind verfügbar auf Securelist unter https://securelist.com/zero-day-vulnerability-in-desktop-window-manager-cve-2021-28310-used-in-the-wild/101898/

Weitere Informationen zur APT-Gruppe BITTER und IOCs stehen Kunden von Kaspersky Intelligence unter intelreports@kaspersky.com zur Verfügung.

[1] https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/

[2] https://securelist.com/zero-day-vulnerability-in-desktop-window-manager-cve-2021-28310-used-in-the-wild/101898/

[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28310

[4] https://www.kaspersky.de/enterprise-security/endpoint

[5] https://www.kaspersky.de/enterprise-security/threat-intelligence

[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

Fachartikel

Featured image for “Suchmaschinenoptimierung: Welche Rolle spielt eine SSL-Verschlüsselung im SEO?”

Suchmaschinenoptimierung: Welche Rolle spielt eine SSL-Verschlüsselung im SEO?
Featured image for “Wachsende Angriffsfläche in vernetzten Industrieumgebungen”

Wachsende Angriffsfläche in vernetzten Industrieumgebungen
Featured image for “Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht”

Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht
Featured image for “Deep Learning: Das Versprechen der Prävention ist eingelöst (?!)”

Deep Learning: Das Versprechen der Prävention ist eingelöst (?!)
Featured image for “Der Siegeszug von Malware-as-a-Service”

Der Siegeszug von Malware-as-a-Service

Studien

Featured image for “DLA Piper Studie zu DSGVO-Bußgeldern und Datenschutzverletzungen 2022”

DLA Piper Studie zu DSGVO-Bußgeldern und Datenschutzverletzungen 2022
Featured image for “Wachsende Angriffsfläche in vernetzten Industrieumgebungen”

Wachsende Angriffsfläche in vernetzten Industrieumgebungen
Featured image for “Allianz Risk Barometer 2022: Cyber weltweites Top-Risiko für Unternehmen; Sorge vor Naturgefahren und Klimawandel in Deutschland”

Allianz Risk Barometer 2022: Cyber weltweites Top-Risiko für Unternehmen; Sorge vor Naturgefahren und Klimawandel in Deutschland
Featured image for “Wer sich mit der Blockchain beschäftigt, hat hohe Erwartungen”

Wer sich mit der Blockchain beschäftigt, hat hohe Erwartungen
Featured image for “Studie zeigt, dass deutsche Führungskräfte die Bedrohung durch Ransomware unterschätzen und mehr Beratung durch Cybersicherheitsexperten benötigen”

Studie zeigt, dass deutsche Führungskräfte die Bedrohung durch Ransomware unterschätzen und mehr Beratung durch Cybersicherheitsexperten benötigen

Whitepaper

Featured image for “2021 Managed Services Report”

2021 Managed Services Report
Featured image for “Erstes Vorgehensmodell für KI-Engineering veröffentlicht”

Erstes Vorgehensmodell für KI-Engineering veröffentlicht
Featured image for “Neue CrowdStrike-Umfrage zeigt sinkendes Vertrauen in traditionelle IT-Anbieter wie Microsoft”

Neue CrowdStrike-Umfrage zeigt sinkendes Vertrauen in traditionelle IT-Anbieter wie Microsoft
Featured image for “Radware mit Teil 2 des Hacker’s Almanac”

Radware mit Teil 2 des Hacker’s Almanac
Featured image for “Ein erprobtes Sicherheitskonzept für Cloud Workloads”

Ein erprobtes Sicherheitskonzept für Cloud Workloads

Unter4Ohren

Featured image for “Deep-Learning: Die nächste Evolutionsstufe in der Cybersecurity-Abwehr?”

Deep-Learning: Die nächste Evolutionsstufe in der Cybersecurity-Abwehr?
Featured image for “Cybersecurity Booster für Krankenhäuser”

Cybersecurity Booster für Krankenhäuser
Featured image for “X-PHY – die weltweit erste SSD mit künstlicher Intelligenz zur physischen Bekämpfung von Cyberangriffen”

X-PHY – die weltweit erste SSD mit künstlicher Intelligenz zur physischen Bekämpfung von Cyberangriffen
Featured image for “„Sicher war gestern“ – 64 Prozent der geschäftskritischen Systeme wurden in den vergangenen beiden Jahren angegriffen”

„Sicher war gestern“ – 64 Prozent der geschäftskritischen Systeme wurden in den vergangenen beiden Jahren angegriffen
Featured image for “Wie wichtig wird Zero Trust und User Based Security in der Zukunft werden?”

Wie wichtig wird Zero Trust und User Based Security in der Zukunft werden?