Aktuelle Zero-Day-Exploits

 

 

Herkömmliche Abwehrmechanismen sind gegen Zero-Day-Bedrohungen machtlos

Bei Zero-Day-Angriffen handelt es sich um Cyberangriffe, die bislang unbekannte Softwareschwachstellen ausnutzen, für die es noch keinen Patch oder Fix gibt.

Sie lassen sich nur schwer entdecken, vor allem mit herkömmlichen Sicherheitslösungen, die sich auf Malware-Signaturen und die URL-Reputation stützen. Denn bei Zero-Day-Angriffen sind diese Informationen natürlich noch nicht bekannt. Viele Cyberkriminelle sind äußerst versiert und ihre Malware kann in Systemen monate- oder sogar jahrelang unerkannt bleiben und in dieser Zeit großen Schaden anrichten.

Eine Analyse der kürzlich entdeckten Zero-Day-Angriffe zeigt, dass Schutzmaßnahmen auf der Betriebssystemebene nicht mehr ausreichen, Watering-Hole-Angriffe immer häufiger werden und die Komplexität von Cyberangriffen zunimmt. Außerdem gelingt es Hackern immer öfter, die Sicherheitssysteme von Unternehmen zu umgehen.

Jüngste Zero-Day-Exploits und Sicherheitslücken

Zero-Day-Exploits 2017

Im Jahr 2014 erkannte FireEye fünf Zero-Day-Exploits:

  • CVE-2017-8759: SOAP-WSDL Parsercode-InjektionFireEye entdeckte vor Kurzem ein mit Schadcode infiziertes Microsoft-Office-RTF-Dokument, das die Schwachstelle CVE-2017-8759 ausnutzte. Diese Sicherheitslücke erlaubt es den Angreifern, während des Parsens der SOAP-WSDL-Definitionen beliebigen Code zu injizieren.
  • CVE-2017-0261: Use-After-Free-Exploit in einem EPSFireEye entdeckte eine Use-After-Free-Schwachstelle in einem mit Microsoft Office erstellten Encapsulated PostScript (EPS) – CVE-2017-026. Dieser Exploit wurde von der Gruppe Turla genutzt, um die Malware SHRIME zu verbreiten, und von unbekannten, finanziell motivierten Hackern zur Verbreitung der Malware NETWIRE verwendet.
  • CVE-2017-0262: Type-Confusion-Schwachstelle in EPS-DateienFireEye beobachtete, wie die Gruppe APT28 die unter dem Kürzel CVE-2017-0262 bekannte Type-Confusion-Schwachstelle in mit Microsoft Office erstellten Encapsulated PostScripts (EPS) ausnutzte, um die Schadsoftware GAMEFISH zu verbreiten.
  • CVE-2017-0263: Use-After-Free-Schwachstelle win32k!xxxDestroyWindow FireEye beobachtete, wie die Gruppe APT28 bei der Verbreitung der Malware GAMEFISH die unter dem Kürzel CVE-2017-0263 bekannte Use-After-Free-Schwachstelle win32k!xxxDestroyWindow ausnutzte, um ihre Nutzerrechte auf den infizierten Systemen auszuweiten. Die Schwachstelle wurde in Verbindung mit CVE-2017-0262 genutzt.
  • CVE-2017-0199: Angreifer nutzen eine Schwachstelle im HTA HandlerFireEye entdeckte mit Schadcode infizierte Microsoft-Office-RTF-Dokumente, die die Schwachstelle CVE-2017-0199 ausnutzen. Sobald ein Nutzer eine Datei mit dem eingebetteten Exploit öffnet, werden Angreifer in die Lage versetzt, ein Visual-Basic-Script mit PowerShell-Befehlen in das betroffene System einzuschleusen und es dort auszuführen.

Zero-Day-Exploits 2016

  • CVE-2016-4117: von Hackern genutzter Zero-Day-Exploit für FlashFireEye deckte einen Angriff auf, bei dem eine bisher unbekannte Schwachstelle des Adobe Flash Players (CVE-2016-4117) ausgenutzt wurde, und unterstützte die Entwicklung und Veröffentlichung eines entsprechenden Patches nur vier Tage später.
  • CVE-2016-0167: Zero-Day-Exploit zur Ausweitung der Nutzerrechte in Microsoft WindowsFireEye hat mehr als 100 nordamerikanische Institutionen und Unternehmen identifiziert, die einer Angriffskampagne zum Opfer gefallen waren, in deren Verlauf sich die Hacker durch die Ausnutzung einer bis dahin unbekannten Schwachstelle in Microsoft Windows (CVE-2016-0167) erweiterte Nutzerrechte verschafft hatten.
  • CVE-2016-1019: Sicherheitshinweis für Adobe Flash PlayerDer Adobe Flash Player bis einschließlich Version 21.0.0.197 für Windows, Macintosh, Linux, and Chrome OS weist eine kritische Schwachstelle auf (CVE-2016-1019). Durch die Ausnutzung dieser Schwachstelle könnten Angreifer einen Systemabsturz verursachen oder die Kontrolle über ein betroffenes System übernehmen.

Zero-Day-Exploits 2015

Im Jahr 2015 entdeckte FireEye acht der 13 erkannten Zero-Day-Exploits:

  • CVE-2015-6585: Hangul Word ProcessorBeim Angriff einer vermutlich nordkoreanischen Hackergruppe wurde eine Sicherheitslücke in der Textverarbeitungssoftware Hangul Word Processor von Hancom ausgenutzt.
  • CVE-2015-2545: MS Office; CVE-2015-2546: MS WindowsIm Zuge eines gezielten Angriffs mit einem infizierten Microsoft-Word-Dokument zeigten sich Schwachstellen in Microsoft Office and Microsoft Windows.
  • Zero-Day-Exploit für Adobe Flash: CVE-2015-3113Lesen Sie, wie die Hackergruppe APT3 Spear-Fishing-E-Mails mit Links zu infizierten Webservern verschickte.
  • CVE-2015-1641Schwachstellen in Microsoft Office, die die Ausführung von Code per Remote-Zugriff ermöglichen.
  • CVE-2015-2424Die durch das Tsar Team ausgenutzte Schwachstelle in Microsoft Office (CVE-2015-2424).
  • CVE-2015-1701Die russische Hackergruppe APT28 nutzte wahrscheinlich Zero-Day-Exploits in Adobe und Windows für äußerst gezielte Angriffe
  • CVE-2015-1671Schwachstellen in Microsoft-Font-Treibern, die die Ausführung von Code per Remote-Zugriff ermöglichen

Zero-Day-Exploits 2014

Im Jahr 2014 entdeckte FireEye sechs der 12 erkannten Zero-Day-Exploits:

  • Watering-Hole-Exploit für Internet ExplorerEine Sicherheitslücke, die für Angriffe auf die Nutzer des IE 10 genutzt werden konnte, wenn diese eine mit Schadcode infizierte Website besuchten.
  • Exploit für Internet Explorer 9 bis 11: CVE-2014-1776 Eine Sicherheitslücke, die die Nutzer der IE-Versionen 6 bis 11 (und besonders der Versionen 9 bis 11) betraf. Damit konnten standardmäßige Schutzmaßnahmen umgangen und beliebige Speicherzugriffe durchgeführt werden.
  • CVE-2014-4148Eine Sicherheitslücke im Windows-Kernel, von der insbesondere das Microsoft Windows TrueType Font (TTF)-Verarbeitungssubsystem betroffen ist. Dieser Exploit ermöglicht es, einen mit Malware infizierten TTF in ein Microsoft Office-Dokument einzubinden und in einem international agierenden Unternehmen zu verbreiten.
  • CVE-2014-4113Eine weitere Sicherheitslücke im Windows-Kernel, mit der ein lokaler Elevation-of-Privilege-Angriff (EoP) auf Microsoft Windows 7, Vista, XP, Windows 2000, Windows Server 2003/R2 und Windows Server 2008/R2 möglich wird.
  • CVE-2014-0502Ein Zero-Day-Exploit in Adobe Flash, der die neuesten Versionen 12.0.0.4 und 11.7.700.261 des Flash Player betrifft.
  • CVE-2014-4114Diese vom Sandworm-Team entdeckte Zero-Day-Schwachstelle in allen Versionen von Microsoft Windows wurde im Rahmen einer russischen Spionageoperation für Cyberangriffe auf die NATO, die Europäische Union, Telekommunikationsanbieter und Unternehmen aus der Energiewirtschaft genutzt.

Zero-Day-Exploits 2013

Im Jahr 2013 entdeckte FireEye elf der 13 erkannten Zero-Day-Exploits:

  • CVE-2012-4792Dieser schädliche JavaScript-Code versteckte sich auf der Website des Council on Foreign Relations und richtete sich an IE-Nutzer
  • CVE-2013-0422Eine Sicherheitslücke auf der Basis von Java 7, mit der Windows-Benutzer am Zugriff auf ihren Computer gehindert werden konnten
  • CVE-2013-0634Schädlicher ActionScript-Code zum Angreifen von Adobe Flash-Nutzern bei den Betriebssystemen Windows, Mac, Linux und Android
  • CVE-2013-0640/CVE-2013-0641Zwei JavaScript-basierte Sicherheitslücken in PDF-Dateien zur Installation eines Remote-Administration-Tools und Umgehung von ASLR- und DEP-Sicherheitsmaßnahmen
  • CVE-2013-1493Eine Sicherheitslücke in Java Runtime Environment, mit der Angreifer die virtuelle HotSpot-Maschine kompromittieren konnten, um angegriffene Systeme zu übernehmen
  • CVE-2013-1347Diese Sicherheitslücke in den IE-Versionen 6 bis 8 zielte auf Windows XP-Nutzer, die die Website des amerikanischen Arbeitsministeriums besucht hatten.
  • CVE-2013-3893Diese IE-Sicherheitslücke wurde in verschiedenen Malware-Kampagnen genutzt, um Benutzer anzugreifen, die verschiedene schädliche Websites besuchten.
  • CVE-2013-3918/CVE-2014-0266Zwei schwere und intelligent ausgenutzte Sicherheitslücken in ActiveX, die Windows-Benutzer bis Service Pack 2 betrafen
  • CVE-2013-5065In Kombination mit anderen Sicherheitslücken erlaubte es diese Schwachstelle in Windows XP und Windows Server 2003, ein Standardbenutzerkonto zur Remote-Ausführung von Code im Kernel zu verwenden