Eine 6.8 Security Feature Bypass Schwachstelle ist normalerweise nichts, was Administratoren schlaflose Nächte bereitet. Dennoch erleben wir mit der von Microsoft im gestrigen Patch Tuesday releasten Sicherheitslücke mit dem kryptischen Namen CVE-2024-21412 eine SW-Schwachstelle, die bereits von einigen Bedrohungsakteuren aktiv ausgenutzt wird und in naher Zukunft mit großer Wahrscheinlichkeit von allen namhaften Cyberangreifern verwendet wird.
Die Lücke umgeht mit dem „SmartScreen“ ein Sicherheitsfeature aller neueren Windows-Installationen, welches von Microsoft erstmalig mit Windows 8 eingeführt wurde. Dieses Feature führte unter anderem ein „Mark of the Web (MotW)“-Flag ein, wenn eine Datei vom Internet heruntergeladen und ein potentiell gefährlicher Download angestoßen wird.
Die Ausnutzung von CVE-2024-21412 durch Water Hydra
Die APT-Gruppe Water Hydra (auch bekannt als DarkCasino) erregte erstmals im Jahr 2021 Aufmerksamkeit, als sie eine Reihe von Kampagnen startete, die auf den Finanzsektor abzielten, indem sie Social Engineering in Finanzhandelsforen einsetzte, um Opfer zu ködern. Der Bedrohungsakteur verübte gezielte Angriffe auf Banken, Kryptowährungsplattformen, Devisen- und Aktienhandelsplattformen sowie Glücksspielseiten in aller Welt.
Bei der Ausnutzung der Lücke handelt es sich um einen echten „Zero Day“: Eine Lücke, die zuerst von Angreifern gefunden wurde und für die es bis zum Patch Tuesday keinen Schutz seitens des Herstellers gab. Sie betrifft alle Microsoft Windows Produkte, die dieses Feature nutzen. Einem Nutzer wird vorgegaukelt, er würde ein Bild aufrufen.
Um keinen Argwohn zu wecken, wird tatsächlich auch eines angezeigt. Im Hintergrund erfolgt jedoch der Download bösartigen Codes, mit dem der Rechner des Opfers infiziert wird. Trend Micro teilte die Beobachtung dem „Responsible Disclosure“ Codex entsprechend dem Hersteller mit, der daraufhin den gestrigen Patch entwickelte.
Im Rahmen der laufenden Bedrohungsjagd entdeckte Trend Micro, dass eine zweite Gruppe die Schwachstelle ausnutzt. Dies zeigt, dass es in vielen Fällen schwierig sein kann, festzustellen, wie weit verbreitet eine Zero-Day-Schwachstelle von Bedrohungsakteuren genutzt wird, da sie dem Anbieter und der breiten Öffentlichkeit unbekannt ist.
Richard Werner, Business Consultant bei Trend Micro, ordnet die Bedeutung der Sicherheitslücke ein: „Die Lücke ist einfach zu verwenden und wird deshalb in das Tool-Set von Cyberangreifern integriert werden. Die Lücke demonstriert die grundsätzliche Herausforderung für Unternehmen: Die Anzahl der Softwareschwachstellen ist in den letzten Jahren dramatisch angestiegen. Das BSI spricht von 400 Stück pro Tag im Jahr 2023. Cyberangreifer wissen, dass Unternehmen nicht alles patchen (können). Sie verwenden deshalb eine Auswahl verschiedenster Lücken, die über kurz oder lang zum Erfolg führen wird.“
„Damit ändert sich auch die Seite der Verteidigung. Nach unserer Risikoanalyse-Statistiken sind in einem durchschnittlichen Unternehmen etwa 11 Prozent der Systeme in kritischem Sicherheitszustand, sprich es fehlen unter anderem Patches für Sicherheitslücken, die Cyberangreifer aktiv ausnutzen. Oft liegt das nicht daran, dass Menschen bewusst Fehler machen, sondern dass die geschaffenen Bedingungen es nicht anders erlauben. Hier gilt es, wie u.a. die Europäische Union in der NIS 2 Direktive fordert, Cyberrisiko Management zu betreiben. Sind die Lücken nicht vermeidbar, dann müssen sie mindestens überwacht und jegliche Anomalien sofort untersucht werden.“