Symbolbild: iStock

Ein HP-Sicherheits-Forschungsteam entdeckte die Zero-Day-Schwachstelle CVE-2021-40444, die die MSHTML-Browser-Engine mit Microsoft Office-Dokumenten bei der Ausführung von Remote-Code gefährdet, erstmals am 8. September und damit eine Woche vor der Bereitstellung des Patches am 14. September. Am 10. September, also drei Tage nach dem ersten Threat Bulletin, erkannte das HP-Forschungsteam, dass Skripte zur automatischen Erstellung dieses Exploits auf Github geteilt wurden. Ein grosses Risiko, denn ohne Patch ist es Angreifern möglich, Endgeräte mit nur geringer Benutzerinteraktion zu kompromittieren.

Der Exploit verwendet dafür eine bösartige Archivdatei, die die Malware über ein Office-Dokument verbreitet. Die Datei muss nicht geöffnet oder Makros aktiviert werden. Es reicht aus, sie im Vorschaufenster des Datei-Explorers anzuzeigen, um den Angriff zu starten – unbemerkt von Nutzern. Sobald das Gerät kompromittiert ist, ermöglicht es Angreifern, Hintertüren in das System einzubauen. Diese lassen sich dann an Ransomware-Gruppen verkaufen.

Diese Schwachstelle sowie weitere reale Cybersecurity-Angriffe analysiert HP im "HP Wolf Security Threat Insights Report". Demzufolge sind weitere zentrale Bedrohungen:
• Immer mehr Cyberkriminelle nutzen legitime Cloud- und Web-Anbieter, um Malware zu hosten: Eine kürzlich durchgeführte GuLoader-Kampagne hostete den Remote Access Trojaner (RAT) Remcos auf grossen Plattformen wie Onedrive, um Intrusion Detection Systeme zu umgehen und Whitelisting-Tests zu bestehen. HP Wolf Security entdeckte ausserdem verschiedene Malware, die auf Social Media-Plattformen für Spiele wie Discord gehostet wurden.
• Javascript-Malware entgeht Erkennungstools: Verschiedene Javascript-RATs werden zunehmend über bösartige E-Mail-Anhänge verbreitet, da Javascript-Downloader seltener als Office-Downloader oder Binärdateien erkannt werden. RATs werden dazu immer häufiger genutzt, um Anmeldeinformationen für Geschäftskonten oder Krypto-Wallets zu stehlen.
• Der Wechsel zu HTA-Dateien verbreitet die Malware mit einem einzigen Klick: Der Trickbot-Trojaner wird über HTA-Dateien (HTML-Anwendung) verbreitet, die die Malware verbreiten, sobald der Anhang oder die Datei, die sie enthält, geöffnet wird. Aufgrund des ungewöhnlichen Dateityps ist die Wahrscheinlichkeit geringer, dass bösartige HTA-Dateien von Erkennungstools erkannt werden.

Die Ergebnisse basieren laut Mitteilung auf Millionen Endpunkt-Daten von HP Wolf Security. HP Wolf Security spürt Malware durch die Isolierung risikoreicher Aufgaben in mikro-virtuellen Maschinen auf. Dies ermögliche ein besseres Verständnis und Erfassen der vollständigen Infektionskette und helfe so, Bedrohungen zu entschärfen, heisst es.

Weitere Ergebnisse:
• Zwölf Prozent der isolierten E-Mail-Malware hatte mindestens einen Gateway-Scanner umgangen.
• 89 Prozent der entdeckten Malware wurde per E-Mail übertragen, 11 Prozent per Internet-Downloads und weniger als ein Prozent durch andere Überträger wie Wechseldatenträger.
• Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Archivdateien (38 Prozent, verglichen mit 17,26 Prozent im letzten Quartal), Word-Dokumente (23 Prozent), Tabellen (17 Prozent) und ausführbare Programmdateien (16 Prozent).
• Die fünf häufigsten Phishing-Köder waren Geschäftstransaktionen mit Schlagwörtern wie "Bestellung", "Zahlung", "Neu", "Angebot" und "Anfrage".
• Zwölf Prozent der entdeckten Malware war bisher unbekannt.

Über die Studie:
Die Daten wurden innerhalb der virtuellen Maschinen von HP Wolf Security-Kunden zwischen Juli und September 2021 gesammelt.



Der Online-Stellenmarkt für ICT Professionals