Quelle: zerodayinitiative.com (Englisch)
Mindestens 11 staatlich unterstützte Hackergruppen aus Nordkorea, Iran, Russland und China nutzen seit 2017 eine neue Windows-Schwachstelle für Datendiebstahl und Cyberspionage-Zero-Day-Angriffe aus.
Wie die Sicherheitsforscher Peter Girnus und Aliakbar Zahravi von der Trend Micro Zero Day Initiative (ZDI) jedoch heute berichteten, stufte Microsoft die Schwachstelle Ende September als „nicht den Anforderungen entsprechend“ ein und kündigte an, keine Sicherheitsupdates zu veröffentlichen.
„Wir haben fast tausend Shell Link (.lnk)-Samples entdeckt, die ZDI-CAN-25373 ausnutzen; es ist jedoch wahrscheinlich, dass die Gesamtzahl der Ausnutzungsversuche viel höher ist“. „Daraufhin haben wir einen Proof-of-Concept-Exploit über das Bug Bounty-Programm von Trend ZDI bei Microsoft eingereicht, das es jedoch abgelehnt hat, diese Schwachstelle mit einem Sicherheitspatch zu beheben.“
Während Microsoft dieser Schwachstelle noch keine CVE-ID zugewiesen hat, wird sie von Trend Micro intern als ZDI-CAN-25373 geführt und ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Windows-Systemen.
Wie die Forscher bei der Untersuchung von ZDI-CAN-25373 in the wild herausfanden, wurde die Sicherheitslücke in weit verbreiteten Angriffen von vielen staatlich gesponserten Bedrohungsgruppen und Cybercrime-Gangs ausgenutzt, darunter Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni und andere.
Obwohl die Kampagnen auf Opfer in aller Welt abzielten, konzentrierten sie sich hauptsächlich auf Nordamerika, Südamerika, Europa, Ostasien und Australien. Von allen analysierten Angriffen waren fast 70 % mit Spionage und Informationsdiebstahl verbunden, während sich nur 20 % auf finanzielle Gewinne konzentrierten.
Die ZDI-CAN-25373 Windows-Zero-Day-Schwachstelle
Diese neu entdeckte Windows-Schwachstelle (verfolgt als ZDI-CAN-25373) wird durch eine Schwachstelle in der Benutzeroberfläche (CWE-451) verursacht, die es Angreifern ermöglicht, die Art und Weise auszunutzen, wie Windows Verknüpfungsdateien (.lnk) anzeigt, um die Erkennung zu umgehen und Code auf anfälligen Geräten ohne das Wissen des Benutzers auszuführen.
Bedrohungsakteure nutzen ZDI-CAN-25373 aus, indem sie bösartige Befehlszeilenargumente in .LNK-Verknüpfungsdateien verstecken, indem sie der COMMAND_LINE_ARGUMENTS-Struktur aufgefüllte Leerzeichen hinzufügen.
Den Forschern zufolge können diese Leerzeichen in Form von Hex-Codes für Leerzeichen (\x20), horizontale Tabulatoren (\x09), Zeilenvorschub (\x0A), vertikale Tabulatoren (\x0B), Seitenvorschub (\\x0C) und Wagenrücklauf (\x0D) vorliegen, die als Füllung verwendet werden können.
Wenn ein Windows-Benutzer eine solche .lnk-Datei inspiziert, werden die bösartigen Argumente aufgrund der hinzugefügten Leerzeichen nicht in der Windows-Benutzeroberfläche angezeigt. Infolgedessen bleiben die von den Angreifern hinzugefügten Befehlszeilenargumente vor den Augen des Benutzers verborgen.
„Um diese Schwachstelle auszunutzen, ist eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss“, heißt es in einem heute veröffentlichten Trend Micro Advisory.
„Geschickte Daten in einer .LNK-Datei können dazu führen, dass gefährliche Inhalte in der Datei für einen Benutzer unsichtbar sind, der die Datei über die von Windows bereitgestellte Benutzeroberfläche inspiziert. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Benutzers auszuführen.“
Diese Schwachstelle ähnelt einer anderen, als CVE-2024-43461 verfolgten Schwachstelle, die es Bedrohungsakteuren ermöglichte, 26 kodierte Braille-Whitespace-Zeichen (%E2%A0%80) zu verwenden, um HTA-Dateien zu tarnen, die schädliche Nutzdaten als PDFs herunterladen können. CVE-2024-43461 wurde von Peter Girnus, einem Senior Threat Researcher bei Trend Micro's Zero Day, entdeckt und von Microsoft während des Patch Tuesday im September 2024 gepatcht.