Anfang der Woche gab Microsoft eine Zero-Day-Sicherheitslücke in Outlook bekannt (CVE-2023-23397). Mandiant glaubt, dass die Zero-Day-Lücke bereits seit fast einem Jahr für Angriffe auf Organisationen und kritische Infrastrukturen genutzt wird. Diese Ziele könnten die Sammlung strategischer Informationen sowie störende und zerstörerische Angriffe innerhalb und außerhalb der Ukraine erleichtern.

Mandiant hat die frühe Ausnutzung der Sicherheitslücke unter dem vorläufigen Gruppen-Namen UNC4697 verfolgt und dokumentiert. Mittlerweile wurden die Angriffe öffentlich APT28, einem russischen Akteur im Umfeld des Geheimdienstes GRU zugeschrieben. Die Schwachstelle wird seit April 2022 gegen Regierungsbehörden, Logistikunternehmen, Öl- und Gasbetreiber, Rüstungsunternehmen und die Transportbranche in Polen, der Ukraine, Rumänien und der Türkei eingesetzt.

Mandiant geht davon aus, dass die Sicherheitslücke CVE-2023-23397 schnell und in großem Umfang von zahlreichen nationalstaatlichen und finanziell motivierten Akteuren missbraucht wird – darunter kriminelle wie auch auf Cyberspionage spezialisierte Akteure. Auf kurze Sicht werden sich diese Akteure einen Wettlauf mit den Patch-Bemühungen liefern, um in ungepatchten Systemen Fuß zu fassen.

  • Proof of Concepts für die Schwachstelle, die keine Benutzerinteraktion erfordert, sind bereits weithin verfügbar.

  • Mandiant glaubt, dass die Sicherheitslücke nicht nur zur Sammlung strategischer Informationen genutzt wurde. Es wurden gezielt kritische Infrastrukturen innerhalb und außerhalb der Ukraine anvisiert. Dies sind Vorbereitungsmaßnahmen für störende oder zerstörerische Angriffe.

  • Cloud-basierte E-Mail-Lösungen sind von dieser Schwachstelle nicht betroffen, wenn kein Outlook auf Windows-Systemen verwendet wird.

Kommentar von John Hultquist, Head of Mandiant Threat Intelligence bei Google Cloud zur Zero-Day-Sicherheitslücke:
„Dies ist ein weiterer Beweis dafür, dass aggressive, störende und zerstörerische Cyberattacken möglicherweise nicht auf die Ukraine beschränkt bleiben und eine Erinnerung daran, dass wir nicht alles sehen können. Auch wenn Vorbereitungen für Angriffe nicht zwingend eine imminente Gefahr bedeuten, sollte uns die geopolitische Lage zu denken geben.

Es ist auch eine Erinnerung daran, dass wir nicht in der Lage sind, alles zu sehen, was in diesem Konflikt vorgeht. Es handelt sich hier um Spione, die sich lange Zeit erfolgreich unserer Aufmerksamkeit entzogen haben. Es geht hier um die Verbreitung. Die Zero-Day-Schwachstelle ist ein hervorragendes Instrument sowohl für nationalstaatliche Akteure als auch für Kriminelle, die kurzfristig große Gewinne machen wollen. Der Wettlauf hat bereits begonnen.“

Weitere Beiträge....