PRESSEPORTAL Presseportal Logo

mehr Themen

Die Presseportal-AppGoogle PlayApp Store
Alle Storys
Folgen
Keine Story von Trend Micro mehr verpassen.
Warum muss ich meine Email-Adresse eingeben?

Trend Micro

Media Alert: ZDI-CAN-25373: Windows Shortcut als Zero-Day-Exploit

Media Alert: ZDI-CAN-25373: Windows Shortcut als Zero-Day-Exploit
  • Bild-Infos
  • Download
  • 2 weitere Medieninhalte

Media Alert: ZDI-CAN-25373: Windows Shortcut als Zero-Day-Exploit

Die Zero Day Initiative™ (ZDI) hat mit ZDI-CAN-25373 eine Windows .lnk-Dateischwachstelle identifiziert, die von APT-Gruppen missbraucht wird und die Ausführung versteckter Befehle mit dem Ziel der Spionage und Datendiebstahl ermöglicht.

Zusammenfassung:

  • Nahezu 1000 bösartige .lnk-Dateien missbrauchen ZDI-CAN-25373, eine Schwachstelle, durch die Angreifer versteckte bösartige Befehle auf dem Computer eines Opfers ausführen können, indem sie präparierte Shortcut-Dateien einsetzen.
  • Die Angriffe nutzen versteckte Befehlszeilenargumente in .lnk-Dateien, um bösartige Payloads auszuführen. Für Unternehmen bedeutet dies erhebliche Risiken von Datendiebstahl und Cyberspionage.
  • Die Schwachstelle wurde von staatlich unterstützten APT-Gruppen aus Nordkorea, dem Iran, Russland und China missbraucht. Betroffen sind Organisationen aus den Bereichen Regierung, Finanzen, Telekommunikation, Militär und Energie sind in Nordamerika, Europa, Asien, Südamerika und Australien.
  • Unternehmen sollten ZDI-CAN-25373 sofort scannen und Sicherheitsmaßnahmen ergreifen, wachsam gegenüber verdächtigen .lnk-Dateien bleiben und sicherstellen, dass umfassende Maßnahmen zum Schutz von Endpunkten und Netzwerken vorhanden sind.

Das Threat-Hunting-Team der Zero Day Initiative™ (ZDI) von Trend Micro hat in einer Vielzahl von Fällen der Ausnutzung von ZDI-CAN-25373 in unterschiedlichen Kampagnen, die bis 2017 zurückreichen, festgestellt. Die Analyse ergab, dass elf staatlich unterstützte Gruppen aus Nordkorea, dem Iran, Russland und China ZDI-CAN-25373 in Operationen eingesetzt haben, die hauptsächlich auf Cyberspionage und Datendiebstahl abzielten.

Trend entdeckten fast tausend Shell Link (.lnk)-Sample, die ZDI-CAN-25373 missbrauchten, doch ist die Gesamtzahl der Ausbeutungsversuche wahrscheinlich viel höher. Nach der Analyse reichte Trend Micro einen Proof-of-Concept-Exploit über das Bug-Bounty-Programm der ZDI bei Microsoft ein. Der Anbieter lehnte es ab, diese Schwachstelle mit einem Sicherheitspatch zu beheben.

Staatlich unterstützte APT-Gruppen nutzen die Schwachstelle

Im Laufe der Untersuchung fand der japanische Sicherheitsanbieter zahlreiche Bedrohungsakteure und APT-Gruppen, die ZDI-CAN-25373 missbrauchen. Es sind sowohl staatlich als auch nicht staatlich unterstützte APT-Gruppen. Viele wiesen ein hohes Maß an Raffinesse in ihren Angriffsketten auf und griffen nicht zum ersten Mal Zero-Day-Schwachstellen in freier Wildbahn an.

Fast die Hälfte der staatlich unterstützten Bedrohungsakteure, die ZDI-CAN-25373 und die damit verbundenen Intrusion-Sets ausnutzen, stammen Berichten zufolge aus Nordkorea. Bemerkenswert ist, dass eine deutliche Mehrheit der nordkoreanischen Intrusion-Sets zu verschiedenen Zeitpunkten auf ZDI-CAN-25373 zielte.

Dazu Peter Girnus, Senior Threat Researcher bei Trend Micro:

„Die Bedrohung durch APTs, die staatlich unterstützt werden oder von hochprofessionellen Cyberkriminellen ausgehen, stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten dar, die von Regierungen, kritischen Infrastrukturen und privaten Organisationen weltweit verwaltet werden. Von den elf staatlich geförderten APT-Gruppen, die ZDI-CAN-25373 missbrauchen, hat eine Mehrheit eine dokumentierte Vorgeschichte bezüglich von Zero-Days.“

„Angesichts der Eskalation geopolitischer Spannungen und Konflikte ist davon auszugehen, dass die Raffinesse der Bedrohungsakteure und die Nutzung von Zero-Day-Schwachstellen zunehmen werden, da sowohl Nationalstaaten als auch Cyberkriminelle versuchen, sich einen Wettbewerbsvorteil gegenüber ihren Gegnern zu verschaffen.“

Weitere Einzelheiten liefert der deutsche Blog-Beitrag: https://www.trendmicro.com/de_de/research/25/c/zdi-can-25373-windows-shortcut-als-zero-day-exploit.html

Falls Sie das Thema mit einem Experten vertiefen möchten, melden Sie sich gerne bei uns.

Beste Grüße

Ihr Trend Micro-Team bei Akima Media

Über Trend Micro

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheit, hilft dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Basierend auf jahrzehntelanger Expertise in IT-Sicherheit und Künstlicher Intelligenz, globaler Bedrohungsforschung und beständigen Innovationen schützt unsere KI-gestützte Cybersecurity-Plattform hunderttausende Unternehmen und Millionen von Menschen über Clouds, Netzwerke, Geräte und Endpunkte hinweg.

Trend Micros Plattform ist führend in Cloud- und Enterprise-Cybersecurity und bietet fortschrittliche Verteidigungstechnologien für Umgebungen wie AWS, Microsoft und Google. Zentrale Sichtbarkeit ermöglicht es Unternehmen, Angriffe schneller zu erkennen und besser darauf zu reagieren.

Mit 7.000 Mitarbeitern in 70 Ländern ermöglicht Trend Micro Unternehmen, ihre vernetzte Welt zu vereinfachen und zu schützen. https://www.trendmicro.com/de_de/business.html

Pressekontakt:

Akima Media GmbH
Christina M. Rottmair / Anja Batur
Hofmannstraße 54
D-81379 München
Telefon: +49 (0) 89 17959 18 – 0
E-Mail:  trendmicro@akima.de
Internet:  www.akima.net
Alle Storys
Folgen
Keine Story von Trend Micro mehr verpassen.
Warum muss ich meine Email-Adresse eingeben?
  • Druckversion
  • PDF-Version
Orte in dieser Story
Themen in dieser Story
Weitere Storys: Trend Micro
Weitere Storys: Trend Micro
Alle Storys Alle
Das könnte Sie auch interessieren
Das könnte Sie auch interessieren