Patch-Day-Updates schließen Zero-Day-Lücke, die aktiv ausgenutzt wird

Microsoft hat bestätigt, dass eine hochgradig gefährliche Windows 10 Zero-Day-Schwachstelle seit Mitte vergangenen Jahres aktiv ausgenutzt wurde. Die Schwachstelle wird mit den Patches vom Februar geschlossen - Nutzer sollten entsprechend schnell handeln.

Nadine Dressler, 21.02.2021 13:01 Uhr

Sicherheit, Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Privatsphäre, Kriminalität, Trojaner, Virus, Verschlüsselung, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, Ddos, Darknet, Hacker Angriffe, Hacker Angriff, Hacken, Attack, Hacks, Gehackt, Datenverarbeitung, Russische Hacker, China Hacker, Security Report, Malware Warnung, Absicherung

Bei der aktiv ausgenutzten Zero-Day-Schwachstelle handelt es sich um "CVE-2021-1732", die als "Windows Win32k Elevation of Privilege Vulnerability", also als Sicherheitslücke, die zur Erhöhung von Nutzerprivilegien verwendet wurde, geführt wird. Die Schwachstelle erlaubt es einem lokalen Angreifer, seine Zugriffsrechte auf die Admin-Ebene zu erhöhen, indem sie eine sogenannte Use-after-free-Bedingung in der Kernel-Komponente win32k.sys auslöst. Angreifer konnten sich die Lücke zu Nutze machen, indem sie einen manipulierten Anhang über Phishing-E-Mails verschicken. Eine Benutzerinteraktion war zur Ausnutzung der Sicherheitslücke nicht erforderlich, wodurch die Sicherheitslücke als "hoch" einstuft wurde.

Aktive Ausnutzung der Schwachstelle seit Sommer 2020

Dieser Fehler wurde mit den Updates vom Patch-Day Februar 2021 behoben. Microsoft hat aber eingeräumt, dass die Sicherheitslücke laut den Telemetriedaten des Unternehmens mindestens seit Sommer 2020 aktiv in freier Wildbahn ausgenutzt wurde. Die Sicherheitslücke wurde Ende Dezember von den Forschern von DBAPPSecurity entdeckt und an das Microsoft Security Response Center gemeldet.

Laut ihrem Bericht von DBAPPSecurity wurde die Zero-Day-Schwachstelle von einer APT-Gruppe (Advanced Persistent Threat), die als Bitter (Forcepoint) und T-APT-17 (Tencent) bekannt ist, aktiv für gezielte Angriffe genutzt. Bitter ist für Informationsdiebstahl und Spionagekampagnen bekannt, die bereits seit 2013 vorrangig in China, Pakistan und Saudi-Arabien auftauchen.

DBAPPSecurity haben zudem entdeckt, dass die Angriffe speziell auf Windows 10 Version 1909 abzielten. Betroffene sind aber auch andere Windows 10-Versionen.

Schwachstelle wird immer noch aktiv ausgenutzt

Ab Februar 2021 nutzten Bedrohungsakteure die Exploits CVE-2021-1732 nur noch in einer kleinen Anzahl von Angriffen, die sich auf Geräte aus dem Nahen Osten konzentrierten. Demnach nutzten Angreifer diesen Zero-Day mehrere Monate lang aus, ohne entdeckt zu werden, missbrauchten ihn mehrere Wochen lang in Angriffen, bis der Fehler von Microsoft gepatcht wurde, und nutzen ihn immer noch in gezielten Angriffen. Durch die Bekanntgabe der Schwachstelle ist aber zu befürchten, dass sie nun auch weitreichender ausgenutzt wird.

Download Windows 10: Kumulativer Patch

Interessante Artikel und Links rund um die halbjährlichen Windows 10-Updates:

Thema:

Windows 10

Kommentieren11

Hinweis einsenden

Weitere Nachrichten zum Thema Aktive Angriffe auf Security-Forscher: Microsoft stopft nächste Zero DayGoogle: Komplexe Exploit-Ketten griffen Windows und Android anWindows 10 Zero-Day-Exploit: Schwachstelle ist trotz Patch noch daUnglaublicher iPhone-Exploit hätte komplette Übernahme ermöglichtPlayStation 5: Sony bannt Spieler für "Exploit" der PS Plus Collection