Windows Schwachstelle CVE-2024-21412: Angriffe der APT-Gruppe Water Hydra

Windows[English]Zum 13. Februar 2024 wurde die Internet Shortcut Files Security Feature Bypass-Schwachstelle CVE-2024-21412 bekannt. Über diese Schwachstelle lässt sich der SmartScreen in Windows und anderen Produkten aushebeln. Microsoft hat mit den Sicherheitsupdates vom Februar 2024 entsprechende Patches für die unterstützten Windows-Versionen bereitgestellt, um diese Schwachstelle zu beheben. Trend Micro berichtet nun, dass die APT-Gruppe Water Hydra diese Internet Shortcut Files Security Feature Bypass-Schwachstelle CVE-2024-21412 für Angriffe ausnutzt.


Anzeige

Die Schwachstelle CVE-2024-21412

Ich hatte die Schwachstelle bereits im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024) angesprochen. CVE-2024-21412 ist eine Internet Shortcut Files Security Feature Bypass-Schwachstelle, die mit einem CVEv3 Score 8.1 als important (wichtig) eingestuft wurde. Die Schwachstelle ermöglicht die Umgehung der Sicherheitsfunktion (des SmartScreen-Filters) in Internet-Verknüpfungsdateien.

Um diese Schwachstelle auszunutzen, muss ein Angreifer die Zielperson (z.B. mithilfe von Social Engineering) davon überzeugen, eine bösartige Internet-Verknüpfungsdatei, die darauf ausgelegt ist, die angezeigten Sicherheitsprüfungen zu umgehen, zu öffnen. Der Nutzer muss also aktiv einen Dateilink anklicken, damit der Angriff funktioniert. Microsoft hat keine Details zur Schwachstelle offen gelegt, aber Sicherheitsupdates zum Schließen der Schwachstelle zum 13. Februar 2024 veröffentlicht:

  • Update KB5034768: Windows 10 Enterprise 2019 LTSC /Windows Server 2019
  • Update KB5034763: Windows 10 Version 21H1 – 22H2
  • Update KB5034769: Windows Server Version 23H2
  • Update KB5034770: Windows Server 2022
  • Update KB5034765: Windows 11 23H2-22H2
  • Update KB5034766: Windows 11 21H2

Nach Installation der Sicherheitsupdates sollte die Schwachstelle CVE-2024-21412 beseitigt sein. Die Lücke umgeht den "SmartScreen", ein Sicherheitsfeature aller neueren Windows-Installationen, welches von Microsoft erstmalig mit Windows 8 eingeführt wurde. Dieses Feature führte unter anderem ein "Mark of the Web (MotW)"-Flag ein, um eine vom Internet heruntergeladene Datei als potentiell gefährlichen Download zu kennzeichnen. Die Datei wird dann per SmartScreen vor der Verarbeitung geprüft.

Water Hydra zielt auf CVE-2024-21412

Trend Micro merkt in einer Information an, dass die Schwachstelle CVE-2024-21412 bereits von einigen Bedrohungsakteuren aktiv ausgenutzt wird. Es ist davon auszugehen, dass in drei bis vier Wochen) alle namhaften Cyberangreifer versuchen, diese Schwachstellen mit großer Wahrscheinlichkeit auszunutzen.

Es sieht so aus, als ob die APT-Gruppe Water Hydra die Schwachstelle als 0-day bereits ausgenutzt hat. Die APT-Gruppe Water Hydra ist auch als DarkCasino bekannt. Sie erhielt erstmals 2021 durch eine Reihe von Kampagnen Aufmerksamkeit, die auf den Finanzsektor abzielten. Es wurde Social Engineering in Finanzhandelsforen eingesetzt, um Opfer zu ködern. Der Bedrohungsakteur verübte gezielte Angriffe auf Banken, Kryptowährungsplattformen, Devisen- und Aktienhandelsplattformen sowie Glücksspielseiten in aller Welt.

Bei der Ausnutzung der Lücke handelt es sich um einen echten 0-day, d.h. eine Schwachstelle, die zuerst von Angreifern gefunden wurde und für die es bis zum Patch Tuesday keinen Schutz seitens des Herstellers gab. Sie betrifft alle Microsoft Windows Produkte, die dieses Feature nutzen. Einem Nutzer wird vorgegaukelt, er würde ein Bild aufrufen. Um keinen Argwohn zu wecken, wird tatsächlich auch eines angezeigt. Im Hintergrund erfolgt jedoch der Download bösartigen Codes, mit dem der Rechner des Opfers infiziert wird. Trend Micro teilte die Beobachtung dem "Responsible Disclosure" Codex entsprechend dem Hersteller mit, der daraufhin den im Februar 2024 freigegebenen Patch entwickelte.

Im Rahmen der laufenden Bedrohungsjagd entdeckte Trend Micro, dass eine zweite Gruppe die Schwachstelle ausnutzt. Dies zeigt, dass es in vielen Fällen schwierig sein kann, festzustellen, wie weit verbreitet eine Zero-Day-Schwachstelle von Bedrohungsakteuren genutzt wird, da sie dem Anbieter und der breiten Öffentlichkeit unbekannt ist. Trend Micro hat den Blog-Beitrag SmartScreen Vulnerability: CVE-2024-21412 Facts and Fixes zu diesem Thema mit weiteren Details veröffentlicht. Ein Beitrag zu den Water Hydra-Angriffen findet sich im Blog-Beitrag CVE-2024-21412: Water Hydra Targets Traders With Microsoft Defender SmartScreen Zero-Day.

Ähnliche Artikel:
Microsoft Security Update Summary (13. Februar 2024)
Patchday: Windows 10-Updates (13. Februar 2024)
Patchday: Windows 11/Server 2022-Updates (13. Februar 2024)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (13. Februar 2024)


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows Schwachstelle CVE-2024-21412: Angriffe der APT-Gruppe Water Hydra

  1. Michael sagt:

    Hallo zusammen,
    da das Update vom Februar 2024 (KB5034763) bekannter weiße Kumulativ ist und somit das Update vom Januar 2024 (KB5034441) enthalten ist, stellt sich mir folgende Frage:
    Wird auch die Installation des Februar Update aufgrund des Fehlers "Windows RE" an vielen Geräten scheitern?
    Ein Fix für das "Windows RE" Problem das in großen Umgebungen umgesetzt werden kann ist ja von Microsoft noch nicht veröffentlicht.

    Aufgrund der Angriffe auf CVE-2024-21412 ist ja nun dringender Handlungsbedarf.

    • Daniel A. sagt:

      Falsch, das Update KB5034441 war im Januar separat und war auch im Februar nicht im Kumulativen Update enthalten. Auf Systemen, die 5034441 nicht installieren konnten und die es nicht irgendwie ausgeblendet haben wird es weiterhin angeboten (und fehlschlagen, wenn man nicht an den Partitionen rumbastelt oder es dann doch ausblendet). Das Februar Update lässt sich unabhängig davon installieren und gibt auch keine Fehler aus.

  2. Thomas Schulz sagt:

    Ist nicht schon das Aktivieren dieses "SmartScreen" die Sicherheitslücke?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.