Neue Schwachstellen: OneNote, Makros, UEFI

Neue Schwachstellen: OneNote, Makros, UEFI - Foto von AltumCode auf Unsplash

Beitrag teilen

Der Bedrohungsreport zeigt neue Angriffsmethoden: Cyberkriminelle nutzen UEFI-Schwachstellen aus und missbrauchen Datei-Formate von Microsoft um Sicherheitsfunktionen bei Makros zu umgehen.

Die Zahl der abgewehrten IT-Angriffe stagniert auf einem hohen Niveau. Das geht aus dem aktuellen Bedrohungsreport von G DATA CyberDefense hervor. Sorge bereiten zahlreiche Schwachstellen, die Cyberkriminelle konsequent ausnutzen. So deaktivieren UEFI-Bootkits Sicherheitsfunktionen und machen Systeme angreifbar. Eine weitere Masche der Angreifer sind manipulierte OneNote- oder Publisher-Dateien, die Schadsoftware enthalten.

Anzeige

Schwachstellen werden sofort ausgenutzt

Der aktuelle Bedrohungsreport von G DATA CyberDefense belegt, dass die Angreifer schnell auf eine veränderte Lage reagieren. Schließen Software-Anbieter eine bekannte Sicherheitslücke, sind sie schon dabei, eine andere auszunutzen. Ein aktuelles Beispiel sind Schwachstellen im Unified Extensible Firmware Interface (UEFI). Eine wichtige Funktion dieser Schnittstelle zwischen der Firmware, dem Betriebssystem und den Modulen eines Rechners ist das Booten im Secure-Boot-Modus. Cyberkriminelle nutzen bestehende Schwachstellen aus und setzen aktuell Bootkits ein, die die Sicherheitsfunktionen der Plattform umgehen.

Volle Kontrolle durch gefährliche UEFI-Bootkits

Angreifer erhalten damit die volle Kontrolle über den Bootvorgang eines Betriebssystems und können verschiedene Sicherheitsmechanismen deaktivieren, noch bevor das Betriebssystem überhaupt geladen ist. Gleichzeitig können sie nicht nur unentdeckt agieren, sondern sich im System mit hohen Privilegien bewegen.

„Das Risiko von Cyberattacken für Unternehmen und Privatpersonen ist unverändert hoch“, sagt Tim Berghoff, Security Evangelist bei der G DATA CyberDefense AG. „Die aktuellen Untersuchungen zeigen, dass Cyberkriminelle keine Schwachstellen auslassen, um in Netzwerke einzudringen. Und sie finden immer noch neue Möglichkeiten, Systeme mit Schadsoftware zu kompromittieren. Darüber hinaus sind aktuell Schwachstellen im UEFI-SecureBoot ein großes Problem, weil diese oft herstellerseitig teils lange ungepatcht bleiben.“

Unverändert hohes Bedrohungsrisiko

Der Bedrohungsreport von G DATA zeigt: Die Zahl der abgewehrten Cyberangriffe ist im Vergleich vom vierten Quartal des Vorjahres zum ersten Quartal 2023 leicht um zwei Prozent gestiegen. Der eigentlich zu erwartende Rückgang aufgrund saisonaler Rahmenbedingungen ist ausgeblieben. Denn traditionell nutzen Angreifer saisonale Anlässe, um leichtgläubige Kunden in die Falle zu locken. Auffällig: Während die Zahl der abgewehrten Angriffe auf Firmen um mehr als acht Prozent gesunken ist, hat sich die Zahl der abgewehrten Angriffsversuche auf private Nutzer um 3,9 Prozent erhöht.

Im Jahresvergleich ist erkennbar, wie massiv im ersten Quartal 2022 die Angriffe im Zuge des Ukraine-Krieges zugenommen haben: Innerhalb eines Jahres ist die Zahl der abgewehrten Angriffsversuche auf Unternehmen um mehr als 50 Prozent gesunken – im Vergleich vom ersten Quartal 2022 zum Vergleichszeitraum 2023. Bei Privatpersonen lag der Rückgang im gleichen Zeitraum nur bei 6,7 Prozent.

Phishing: Hacking mit neuen Anhängen

Auch beim Thema Phishing finden Angreifer immer neue Möglichkeiten. Im letzten Quartal gelang dies mit schadhaften OneNote- oder PUB-Dateien. So ermöglicht es eine Sicherheitslücke bei Microsoft, eine Sicherheitsfunktion zu Office-Makrorichtlinien im Microsoft Publisher zu übergehen. Sie heben die Blockade nicht vertrauenswürdiger oder bösartiger Dateien auf. Angreifer nutzen diese Möglichkeit, um das Zielsystem zu infizieren.

„Zwar hat Microsoft die Schwachstelle bereits geschlossen“, sagt Tim Berghoff. „Anwender, die automatische Updates deaktiviert haben, sind aber weiterhin gefährdet. Sie müssen umgehend handeln und das Update manuell starten.“

OneNote-Dateien als Makro-Ersatz-Wafffe

Ebenfalls neu sind OneNote-Dateien als anfänglicher Infektionsvektor – als Ersatz für die von Microsoft inzwischen stark eingeschränkten Office-Makros. Denn Microsoft hat die Ausführung von Makros in Dateien wie Word-Dokumenten oder Excel-Tabellen standardmäßig unterbunden. Neuerdings posiert die Schadsoftware als OneNote-Notiz. Die Opfer erhalten einen Mailanhang mit einem OneNote-Dokument. Öffnet eine Person diese Datei, folgt eine Aufforderung, das schreibgeschützte Dokument mit einem Doppelklick zu öffnen. Wer dieser Anweisung Folge leistet, führt die eingebettete Schadsoftware aus und installiert unter anderem Screenshotter oder einen Information Stealer. Damit leiten die Angreifer persönliche Informationen wie etwa Anmeldedaten aus.

Mehr bei GData.de

 


Über G Data

Mit umfassenden Cyber-Defense-Dienstleistungen macht der Erfinder des AntiVirus Unternehmen verteidigungsfähig gegen Cybercrime. Über 500 Mitarbeiter sorgen für die digitale Sicherheit von Unternehmen und Anwendern. Made in Germany: Mit über 30 Jahren Expertise in Malwareanalyse betreibt G DATA Forschung und Softwareentwicklung ausschließlich in Deutschland. Höchste Ansprüche an den Datenschutz sind oberstes Gebot. 2011 hat G DATA mit dem Vertrauenssiegel „IT Security Made in Germany“ des TeleTrust e.V. eine „No-Backdoor“-Garantie abgegeben. G DATA bietet ein Portfolio von AntiVirus und Endpoint Protection über Penetrationstests und Incident Response bis zu forensischen Analysen, Security-Status-Checks und Cyber-Awareness-Trainings, um Unternehmen wirksam zu verteidigen. Neue Technologien wie DeepRay schützen mit Künstlicher Intelligenz vor Malware. Service und Support gehören zum G DATA Campus in Bochum. G DATA Lösungen sind in 90 Ländern erhältlich und wurden vielfach ausgezeichnet.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen