Zero-Day-Exploit in Desktop Window Manager

Kaspersky_news

Beitrag teilen

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit im Desktop Window Manager.

Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung gebracht werden. Eine beliebige Code-Ausführung seitens Cyberkriminellen auf dem Opfer-Computer wäre möglich. Bei Zero-Day-Schwachstellen handelt es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung können Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.

Exploit-Analyse entlarvt Verstärkung

Bei der Analyse des Exploits CVE-2021-1732 fanden die Experten von Kaspersky einen weiteren Zero-Day-Exploit und meldeten ihn im Februar 2021 an Microsoft. Nach der Bestätigung, dass es sich tatsächlich um einen Zero-Day handelt, erhielt die Schwachstelle die Bezeichnung CVE-2021-28310.

Laut den Forschern wird dieser Exploit in freier Wildbahn verwendet – möglicherweise von mehreren Bedrohungsakteuren. Es handelt sich um einen sogenannten EoP-Exploit (Escalation of Privilege), der sich im Desktop Window Manager befindet und mit dem Angreifer beliebigen Code auf dem Computer eines Opfers ausführen können.

Exploit versucht Sandbox zu entgehen

Wahrscheinlich wird dieser Exploit zusammen mit weiteren Browser-Exploits verwendet, um Erkennung innerhalb einer Sandbox zu entgehen und um Systemberechtigungen für den weiteren Zugriff zu erhalten. Bei der ersten Analyse durch Kaspersky konnte nicht die gesamte Infektionskette ermittelt werden. Daher ist noch nicht bekannt, ob der Exploit mit einem anderen Zero-Day-System oder mit bekannten, gepatchten Sicherheitslücken verwendet wird.

“Der Exploit wurde durch unsere fortschrittliche Exploit-Prevention-Technologie und die damit verbundenen Erkennungsaufzeichnungen identifiziert”, erklärt Boris Larin, Sicherheitsexperte bei Kaspersky. “Wir haben in den vergangenen Jahren eine Vielzahl von Exploit-Schutztechnologien in unsere Produkte integriert, die bereits mehrere Zero-Days erkannt haben und damit ihre Wirksamkeit immer wieder unter Beweis stellen. Wir werden den Schutz unserer Nutzer weiter verbessern, indem wir unsere Technologien kontinuierlich optimieren und mit Drittanbietern zusammenarbeiten, um Schwachstellen zu beheben und das Internet für alle sicherer zu machen.” Am 13. April 2021 wurde ein Patch für die Sicherheitslücke CVE-2021-28310 veröffentlicht.

Mehr bei SecureList bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Angriffe über QR-Code-Routing

Ein Anbieter von Cyber-Sicherheitslösungen, hatte bereits festgestellt, dass QR-Code-Phishing als Betrugsversuch zwischen August und September 2023 um 587 Prozent in ➡ Weiterlesen

Unternehmen geben 10 Mrd. Euro für Cybersicherheit aus

Deutschland wappnet sich gegen Cyberangriffe und investiert dazu mehr denn je in IT- und Cybersicherheit. Im laufenden Jahr werden die ➡ Weiterlesen

Qakbot bleibt gefährlich

Sophos X-Ops hat eine neue Variante der Qakbot-Malware entdeckt und analysiert. Erstmals traten diese Fälle Mitte Dezember auf und sie ➡ Weiterlesen

VexTrio: bösartigster DNS-Bedrohungsakteur identifiziert

Ein Anbieter für DNS-Management und -Sicherheit hat VexTrio, ein komplexes, kriminelles Affiliate-Programm enttarnt und geblockt. Damit erhöhen sie die Cybersicherheit. ➡ Weiterlesen

Ein Comeback von Lockbit ist wahrscheinlich

Für Lockbit ist es elementar wichtig, schnell wieder sichtbar zu sein. Opfer sind mutmaßlich weniger zahlungsfreudig, solange es Gerüchte gibt, ➡ Weiterlesen

LockBit lebt

Vor wenigen Tagen ist internationalen Strafverfolgungsbehörden ein entscheidender Schlag gegen Lockbit gelungen. Laut einem Kommentar von Chester Wisniewski, Director, Global ➡ Weiterlesen

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen