[English]Kurze Information für Leute, die noch den Internet Explorer im Einsatz haben (betrifft vor allem Firmen-Administratoren). Es ist eine Schadsoftware aufgetaucht, die die Internet Explorer-Schwachstelle CVE-2020-0968 ausnutzt. Von Microsoft gibt es seit April 2020 einen Patch dafür.
Anzeige
Internet Explorer-Schwachstelle CVE-2020-0968
Bei der Schwachstelle CVE-2020-0968 handelt es sich um einen Scripting Engine Memory Corruption-Sicherheitslücke im Internet Explorer. Eine Sicherheitslücke bei der Remotecodeausführung hängt mit der Art und Weise zusammen, wie die Skripting-Engine Objekte im Speicher des Internet Explorer behandelt. Die Schwachstelle könnte den Speicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen könnte.
Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, könnte ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die die Sicherheitsanfälligkeit im Internet Explorer ausnutzt. Ruft ein Benutzer die Website auf, könnte der Angreifer auch ein als "sicher für die Initialisierung" gekennzeichnetes ActiveX-Steuerelement in eine Anwendung oder ein Microsoft Office-Dokument einbetten, das die IE-Rendering-Engine hostet.
Microsoft hat zum 14.4.2020 aber Sicherheitsupdates freigegeben, die diese Schwachstelle in der Skripting-Engine beheben. Diese wurden mit kumulativen Sicherheitsupdates und Rollups für Windows sowie mit dem Internet Explorer-Update KB4550905 geschlossen.
Malware-Sample gefunden
Auf Twitter ist mir die Nacht die Information unter die Augen gekommen, dass aus Weißrussland ein Malware-Beispiel auf VirusTotal hochgeladen wurde, welches einen Exploit für die Internet Explorer-Schwachstelle CVE-2020-0968 herunterlädt.
ClearSky Research ist die in einer RTF-Datei eingebettete Malware am 20. September 2020 unter die Augen gekommen. Die erste Datei wurde aus Weißrussland (Belarus) VirusTotal hochgeladen. In diesem Land finden ja aktuell Demonstrationen gegen den Machthaber Lukaschenko statt. Der Dateiname und der Inhalt der Word-Datei enthält Formulare, die über Personen ausgefüllt werden sollen, die vor dem Obersten Gerichtshof wegen Verbrechen angeklagt sind.
Die RTF-Datei führt einen willkürlichen Code von einem C2-Server aus. Die Codeausführung könnte für weitere Malware-Downloads, Datendiebstahl und eine Vielzahl bösartiger Aktivitäten genutzt werden. Im analysierten Fall lädt die RTF-Datei einen Exploit für den Internet Explorer herunter, der die Schwachstelle CVE-2020-0968 ausnutzt. Laut den Sicherheitsforschern wurde die Schwachstelle bisher noch nicht in freier Wildbahn ausgenutzt.
Anzeige
Anschließend lädt die Internet Explorer-Schwachstelle die Nutzlast herunter, die Datei ist jedoch verschlüsselt und muss entschlüsselt werden, um ausgeführt werden zu können. Als die Sicherheitsforscher ihre Analyse zusammen schrieben, haben sie festgestellt, dass es bereits eine detaillierte Analyse, die in chinesischer Sprache verfasst wurde, gibt, die diesen Angriff "Operation Domino" nennt. Details sind hier abrufbar.
2015
