Angreifer nutzen 0-Day zur Umgehung der Windows-Sicherheitswarnung

Cyberkriminelle haben einen Weg gefunden, wie sie ohne die bekannten Sicherheitshinweise Schadcode über manipulierte E-Mail-Anhänge auf das System ihrer Opfer bekommen. Ausgenutzt wird dabei eine Zero-Day-Schwachstelle in Windows.
Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, Sicherheitslücken, Darknet, Hacker Angriffe, Hacker Angriff, Hacken, Sicherheitsupdate, Kurs, Attack, Hacks, anti-malware, Crime, Russische Hacker, Cyberwar, China Hacker, Risiko, Malware Warnung, Cyberangriff, Sicherheitsrisiko, Sicherheitsproblem, Cyberattacke, Totenkopf, tot, Dead, Malware Found, Hazard, Skull
Das geht aus einem Bericht des Online-Magazins Bleeping Computer hervor. Die Sicherheitsforscher von Trend Micro hatten übrigens vor rund einem Monat schon über ein ähnliches Phänomen berichtet. Microsoft hatte dann zum Patch-Day November eine erste Schwachstelle bei den Signierungen behoben.

Dabei wurden jetzt Angriffe über Phishing-E-Mails bekannt, die eine Windows-Schwachstelle ausnutzen, um die Qbot-Malware zu verbreiten, ohne dass die sogenannte "Mark of the Web"-Sicherheitswarnung angezeigt wird.


Diese Warnhinweise sieht man normalerweise, wenn Dateien von einem nicht vertrauenswürdigen Ort wie dem Internet oder einem E-Mail-Anhang heruntergeladen werden. Windows fügt dieses spezielle Attribut Mark of the Web (MotW) dann einfach hinzu.

MotW-Attribut hilft bei der Entscheidung, Dateien auszuführen

Wenn ein Nutzer versucht, eine Datei mit einem MotW-Attribut zu öffnen, zeigt Windows im Normalfall eine Sicherheitswarnung an und fragt, ob der Benutzer die Datei wirklich öffnen möchte.

"Dateien aus dem Internet können zwar nützlich sein, aber dieser Dateityp kann Ihren Computer möglicherweise beschädigen. Wenn Sie der Quelle nicht vertrauen, öffnen Sie diese Software nicht", lautet die Warnung von Windows. Durch die Zero-Day-Lücke wird nun das MoTW-Attribut unterbunden. Windows lässt die Ausführung des Programms dann automatisch zu - so kann die Malware unbehelligt auf das Opfersystem gelangen. In den jüngst entdeckten Qbot-Kampagnen verteilen die Angreifer JS-Dateien, die mit fehlerhaften Signaturen signiert sind.

In den Phishing-E-Mails ist dabei ein Link zu einem angeblichen persönlichen Dokument inklusive eines Passwortes enthalten. Die Opfer werden angewiesen, das Dokument mithilfe des Passwortes zu öffnen. Dabei wird dann allerdings eine Datei geöffnet und ausgeführt, ohne jegliche Sicherheitswarnung.

Im Anschluss beginnt die Malware dann ihr böses Spiel: Nach kurzer Zeit injiziert der Malware-Loader die Qbot-DLL in legitime Windows-Prozesse, um die Erkennung zu umgehen. Microsoft weiß seit Oktober von dieser Zero-Day-Schwachstelle. Es ist noch unbekannt, ob zum Dezember Patch-Day die Behebung erfolgt.

Siehe auch:


Jetzt als Amazon Blitzangebot
Ab 07:10 Uhr Lightning USB 3.0 Speicherstick,Speicher-Stick,USB-Stick,Speichererweiterung für iPhoneLightning USB 3.0 Speicherstick,Speicher-Stick,USB-Stick,Speichererweiterung für iPhone
Original Amazon-Preis
35,99
Im Preisvergleich ab
35,99
Blitzangebot-Preis
28,79
Ersparnis zu Amazon 20% oder 7,20
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!