Unser Einsatz zur Sicherheit unserer Kunden


crimeunit

Kürzlich hat eine Hacker Gruppe, die Microsoft Threat Intelligence STRONTIUM (PDF) nennt, eine Spear-Phishing-Kampagne durchgeführt. Kunden mit Microsoft Edge auf Windows 10 Anniversary Update sind vor diesen bekannten Angriffen geschützt. Entdeckt wurde STRONTIUM von Googles Threat Analysis Group. Bei diesem Angriff werden zwei Zero-Day-Lücken in Adobe Flash und dem Down-Level-Windows-Kernel ausgenutzt, um eine spezifische Kundengruppe anzugreifen.

Gemeinsam mit Google und Adobe hat Microsoft den Angriff untersucht und einen Patch für Down-Level-Versionen von Windows erstellt. Der Patch für alle Windows-Versionen wird momentan von Industriepartnern getestet und soll am 8. November 2016 veröffentlicht werden.

Microsoft vertritt den Standpunkt, dass die Beteiligung der verantwortlichen Technologieindustrie den Kunden an erster Stelle setzt und eine koordinierte Veröffentlichung von Schwachstellen erfordert. Microsoft ist enttäuscht, dass Google diese Schwachstellen veröffentlicht hat, bevor ein Patch getestet und veröffentlicht werden konnte. Dies setzt Kunden einem erhöhten Risiko aus.

Microsoft rät allen Kunden auf Windows 10 upzugraden, um sich vor solchen Attacken zu schützen. Denn Windows 10 ist das sicherste Betriebssystem, das Microsoft bislang veröffentlicht hat. Es umfasst fortschrittlichen Schutz für Kunden und Unternehmen auf jeder Ebene. Kunden, die die Windows Defender Advanced Threat Protection (ATP) aktiviert haben, können die Cyber-Angriffe von STRONTIUM erkennen.

Was ist STRONTIUM

Microsoft sammelt Informationen von Bedrohungsaktivitäten in bestimmten Gruppen. Diese bestehen aus der Malware, der Infrastruktur, der Opferklasse und der Angriffstechniken. Ziel von diesen Gruppen ist es, Kunden die Gründe eines Cyber-Angriffs verständlich zu machen.

Bei STRONTIUM handelt es sich um eine Hacker Gruppe, die in der Regel Behörden, diplomatische Institutionen und militärische Organisationen sowie verbundene Unternehmen aus dem privaten Sektor wie Vertragsnehmer des Verteidigungsministeriums oder öffentliche Forschungseinrichtungen angreift.

STRONTIUM hat Microsoft zufolge mehr Zero-Day-Lücken 2016 ausgenutzt als jede andere beobachtete Gruppe. Dabei verwendet STRONTIUM kompromittierte E-Mail-Konten, um schadhafte E-Mails zu versenden. Sie verfolgen ihre Ziele oft über mehrere Monate, um einen Computer erfolgreich zu infizieren. Anschließend kann sich STRONTIUM durch das Netzwerk des Opfers bewegen, um sensible Daten zu entwenden.

Die Exploits

STRONTIUM muss drei Ziele erreichen, um einen erfolgreichen Cyber-Angriff auszuüben:

  1. Ausnutzen einer Schwachstelle in Flash, um Kontrolle über den Browser-Prozess zu erhalten.
  2. Ausweiten der Rechte, um aus der Browser-Sandbox auszubrechen.
  3. Installieren einer Hintertür, um Zugang zum Computer eines Opfers zu erhalten.

Microsoft verfügt über mehrere Schutzvorrichtungen und Exploit-Mitigation-Funktionen, um diese Schritte zu verhindern.

Exploit in Adobe Flash: CVE-2016-7855

STRONTIUM nutzt in Adobe Flash einen Use-after-free-Fehler aus, der den Runtime-Code von des ActionScripts ausnutzt. Dies haben das Forscherteam von Windows Defender ATP Exploit und das Microsoft Security Response Center (MSRC) herausgefunden. Adobe hat bereits ein Update veröffentlicht, das diese Schwachstelle beseitigt. Microsoft arbeitet mit Adobe an einer Implementation zusätzlicher Schadensminderungen gegen diese Art von Exploit.

Ausweitung von Rechten

Die Schwachstelle im Windows Kernel besteht von Windows Vista bis zu Windows 10 mit Anniversary Update. Allerdings hat Microsoft bereits vor den Angriffen von STRONTIUM neue Exploit Mitigations in die win32k-Kernel-Komponenten im Windows 10 Anniversary Update integriert. Diese wurden auf Basis von proaktiven internen Forschungen entwickelt und verhindern alle beobachten Instanzen dieses Exploit.

Installation einer Hintertür

Nach der erfolgreichen Ausweitung der Rechte wird eine Hintertür heruntergeladen, in das Dateisystem geschrieben und im Browser-Prozess ausgeführt. Die Hintertür-DLL kann blockiert werden, wenn strikte Code-Integrity-Richtlinien implementiert werden. Microsoft Edge implementiert Code Integrity nativ, um diese üblichen Post-Exploitation-Schritte zu verhindern. Nutzer von Internet Explorer oder anderer Browser können durch den Einsatz von Device Guard ebenfalls geschützt werden.

Angriff mit Windows Defender ATP erkennen

Mehrere Verhaltens- und Machine-Learning-Erkennungsregeln sind in der Lage, vor unterschiedlichen Elementen des Kill Chains vom STRONTIUM Cyber-Angriff zu warnen. Windows Defender ATP kann ohne jede Signatur mehrere Stufen der Attacke erkennen. Dazu zählen die Erstellung ungewöhnlicher DLL-Bibliotheken durch den Browser-Prozess, unerwartete Änderungen des Prozess-Token und der Integritätsebenen (EoP) sowie das Laden von kürzlich erstellen DLL-Bibliotheken unter ungewöhnlichen Prozessbedingungen (Bild 1).

wdatpstrontiumBild 1: Windows Defender ATP erkennt die Kernel EOP, die von STRONTIUM genutzt wird.

Zusätzlich wurden Threat Intelligence und IOCs, die für diesen Angriff spezifisch sind und von Microsoft Threat Intelligence entdeckt wurden, zu Windows Defender ATP und Office 365 ATP hinzugefügt. Diese Warnungen arbeiten neben der vorhandenen Bedrohungszusammenfassung und den ausführlichen Profilen von STRONTIUM im Kundenportal von Windows Defender ATP.

Weiterführende Links
• Funktionen und Möglichkeiten von Windows Defender ATP in Windows 10
• Post Breach: Dealing with advanced threats (PDF)

Comments (0)

Skip to main content