Defender-Sicherheitslücke:
Angriffe auf Windows SmartScreen

Hacker haben eine Angriffswelle gestartet, bei der sie ausgerechnet eine Schwachstelle im Windows Defender ausnutzen, um Sicherheitsüber­prüfungen zu umgehen. Ziel ist es, automatisch gefälschte Software-Installationsprogramme einzuschleusen.
Sicherheit, Security, Schadsoftware, Cybersecurity, Antivirus, Anti-Virus, Windows Defender, Defender, anti-malware, Antivirensoftware, Microsoft Defender, Anti-Viren-Software, Windows Defender Advanced Threat Protection, Windows Antivirus, Windows Defender Security Center, Windows Schild

SmartScreen-Schwachstelle

Inzwischen hat Microsoft die SmartScreen-Schwachstelle von Windows Defender zwar behoben - es gibt aber noch viele über das Internet erreichbare ungepatchte Systeme. Das Sicherheitsupdate ist seit Februar erhältlich.

SmartScreen ist eine Windows-Sicherheitsfunktion, die eine Warnung anzeigt, wenn Nutzer versuchen, nicht erkannte oder verdächtige Dateien aus dem Internet herunterzuladen. Die Schwachstelle CVE-2024-21412 ist dabei ein Fehler im Windows Defender SmartScreen, der es speziell gestalteten Dateien ermöglicht, diese Sicherheitswarnungen zu umgehen.


Angreifer können den Fehler aus der Ferne ausnutzen, und durch eine manipulierte Windows-Internet-Verknüpfung (.url-Datei) so gestalten, dass sie Dateien an ihren Speicherort auf dem angegriffenen System automatisch ausgeführt wird. Laut der Analyse der Sicherheitsexperten von Trend Micro hat sich die bereits durch andere Malware-Einschleusungen bekannte Hackergruppe Water Hydra die Schwachstelle vorgenommen. Nun folgt noch eine zweite Malware, namens DarkGate.

Details zum DarkGate-Angriff

Der Angriff mit der DarkGate-Schad­software beginnt mit einer bösartigen E-Mail, die einen PDF-Anhang mit Links enthält. Dort eingebunden sind Weiter­leitungen, die die Google DoubleClick Digital Marketing (DDM) Services nutzen. Wenn ein Opfer auf einen der Links klickt, startet eine Umleitung auf einen kompromittierten Webserver, der eine Internet-Verknüpfungsdatei hostet.

Die Verwendung mehrerer hintereinander geschalteten Windows-Verknüpfungen nutzt die Sicherheitslücke, um dann eine bösartige MSI-Datei automatisch auf dem Gerät auszuführen. Diese MSI-Dateien gaben sich lau den Sicherheitsexperten als legitime Software von NVIDIA, der Apple iTunes-App oder Notion aus.

Nach der Initialisierung kann die Malware Daten stehlen, zusätzliche Nutzdaten abrufen und sich in laufende Prozesse einschleusen, Schlüsselprotokolle erstellen und Angreifern Fernzugriff in Echtzeit ermöglichen. Diese komplexe und mehrstufige Infektionskette wird von den DarkGate-Betreibern mindestens seit Mitte Januar 2024 eingesetzt.

Download Microsoft Windows Tool zum Entfernen bösartiger Software
Zusammenfassung
  • Hacker nutzen Schwachstelle im Windows Defender aus
  • Ziel: Einschleusung gefälschter Software-Installer
  • Microsoft hat SmartScreen-Schwachstelle behoben
  • CVE-2024-21412 lässt gefährliche Dateien durch
  • Water Hydra nutzt Lücke, DarkGate-Malware folgt
  • DarkGate-Angriff beginnt mit bösartiger E-Mail
  • MSI-Dateien tarnen sich als bekannte Software
  • Malware ermöglicht Datenklau und Fernzugriff
  • Angriffsmethode seit Mitte Januar 2024 aktiv

Siehe auch:
Thema:
Sicherheitslücken
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Internet Security Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!