APT und gezielte Angriffe
SmartScreen Vulnerability CVE-2024-21412: Fakten und Fixes
Derzeit nutzt die APT-Gruppe Water Hydra die Schwachstelle CVE-2024-21412 aktiv aus. Wir liefern alle nötigen Informationen zu CVE-2024-21412, wie sie von Bedrohungsakteuren eingesetzt werden kann und wie Unternehmen sich schützen können.
Am 13. Februar 2024 veröffentlichte Microsoft einen Patch für CVE-2024-21412, eine Microsoft Defender SmartScreen-Schwachstelle bezüglich Internet Shortcuts. Zuvor hatten wir entdeckt, dass eine APT-Gruppe namens Water Hydra CVE-2024-21412 in einer ausgeklügelten Kampagne mit Ziel Finanzmarkthändler ausnutzt. Die Lücke erlaubt es, den Microsoft Defender SmartScreen zu umgehen und potenzielle Opfer mit dem DarkMe-Remote-Access-Trojaner (RAT) zu infizieren.
Wir fanden heraus, dass der Bypass durch CVE-2023-36025 (eine zuvor gepatchte SmartScreen-Schwachstelle) zur Entdeckung und Ausnutzung von CVE-2024-21412 führte. Dies zeigt, wie Bedrohungsakteure Patches umgehen können, indem sie neue Angriffsvektoren um eine gepatchte Softwarekomponente herum identifizieren.
Es ist wichtig, dass Unternehmen Schwachstellen, insbesondere Zero-Days rechtzeitig erkennen und beseitigen können, um sich vor Angriffen zu schützen. Dafür sind zusätzliche Informationen zu CVE-2024-21412, wie es von Bedrohungsakteuren genutzt werden kann und wie Trend seine Kunden vor dieser speziellen Sicherheitslücke schützt, von hohem Nutzen.
Die APT-Gruppe Water Hydra (auch bekannt als DarkCasino) erregte erstmals im Jahr 2021 Aufmerksamkeit, als sie eine Reihe von Kampagnen startete, die auf den Finanzsektor abzielten, indem sie Social Engineering in Finanzhandelsforen einsetzte, um Opfer zu ködern. Die Akteure verübten gezielte Angriffe auf Banken, Kryptowährungsplattformen, Devisen- und Aktienhandelsplattformen sowie Glücksspielseiten in aller Welt.
Die Gruppe nutzt die Sicherheitslücke CVE-2024-21412 aus, um sich zunächst Zugang zu den Opfern zu verschaffen, um sich dann lateral zu bewegen und die späteren Phasen eines Angriffs einzuleiten. Die Gruppe hat beträchtliches technisches Fachwissen und Raffinesse bewiesen, kombiniert mit der Fähigkeit, Zero-Day-Schwachstellen für Angriffe auszunutzen. Der Akteur nutzt die DarkMe-Malware, mit der er Informationen von Opfern sammelt, und das seit mindestens 2022.
Im Rahmen unserer laufenden Recherche entdeckten wir, dass eine zweite Gruppe den Bug ausnutzte. In vielen Fällen kann es schwierig sein, herauszufinden, wie weit verbreitet eine Zero-Day-Schwachstelle ist. Deswegen ist eine proaktive Bedrohungssuche für die Forschungsteams eines Sicherheitsanbieters so wichtig.
Vorgehensweise
Im Fall von Water Hydra nutzte die Gruppe Internet-Shortcuts, die als JPEG Bild getarnt waren. Sobald der Benutzer das Bild auswählt, kann der Angreifer CVE-2024-21412 ausnutzen. Die Gruppe kann dann den Microsoft Defender SmartScreen umgehen und den Windows-Host als Teil ihrer Angriffskette vollständig kompromittieren.
Eine detaillierte technische Analyse finden Interessierte hier.
Betroffene Anwender
CVE-2024-21412 betrifft Microsoft Defender SmartScreen, eine Funktion, die sowohl in Windows 10 als auch 11 (die derzeit unterstützten Windows-Client-Versionen) enthalten ist. SmartScreen ist eine ursprünglich in Windows 8 eingeführte, integrierte Windows-Funktion, die Benutzer warnt, wenn sie auf eine bösartige URL oder Datei zugreifen.
Schutzmaßnahmen
Neben dem von Microsoft veröffentlichten offiziellen Patch sind Trend-Kunden seit dem 17. Januar über virtuelle Patches vor CVE-2024-21412 geschützt. Die vollständige Liste der Trend-Lösungen finden Sie in unserem Knowledge Base-Artikel.
Mögliche Auswirkungen einer erfolgreichen Ausnutzung
Water Hydra nutzt Social Engineering, um Opfer dazu zu verleiten, bösartige Links auszuwählen, die schließlich zur Ausnutzung von CVE-2024-21412 führen, so dass die Angreifer das Host-System ihres Opfers kompromittieren und bösartige Payloads einsetzen können. Es ist bekannt, dass die Gruppe finanziell motiviert ist, aber auch andere Bedrohungsakteure mit anderen Beweggründen, z. B. für Cyberspionage oder Sabotage, können die Schwachstelle für ihre eigenen Zwecke ausnutzen.
Die Folgen von Datenschutzverletzungen können zu erheblichen finanziellen Verlusten führen, u. a. durch Geldstrafen, Anwaltskosten und Rufschädigung. Zero-Day-Angriffe können auch den Geschäftsbetrieb stören und zu Ausfallzeiten, Produktivitätsverlusten und Kundenunzufriedenheit führen.
Fazit
Angesichts der potenziellen Auswirkungen eines erfolgreichen Angriffs über eine Zero-Day-Schwachstelle ist es wichtig, dass Chief Information Security Officers (CISOs) und andere Entscheidungsträger in der Lage sind, einen vielschichtigen Ansatz zu verfolgen, um sich auf die Risiken von Zero-Day-Schwachstellen vorzubereiten und diese zu handlen.
Wir empfehlen Unternehmen, Best Practices in den folgenden Bereichen einzuführen:
- Schwachstellenmanagement: Implementieren Sie robuste Managementprozesse, um Schwachstellen in der gesamten IT-Infrastruktur kontinuierlich zu identifizieren, zu priorisieren und zu beheben.
- Bedrohungswissen: Überwachen Sie Bedrohungsdaten und -plattformen, um sich über neu auftretende Bedrohungen, einschließlich Zero-Days, auf dem Laufenden zu halten, und passen Sie die Sicherheitsmaßnahmen proaktiv entsprechend an.
- Patch-Verwaltung: Führen Sie rigorose Patch-Management-Verfahren ein, um die rechtzeitige Bereitstellung von Sicherheits-Patches und -Updates von Anbietern zu gewährleisten und das Zeitfenster für Zero-Days zu minimieren.
- Incident Response (Reaktion auf Vorfälle): Entwicklung und regelmäßiger Test von Incident Response-Plänen, um eine schnelle und effektive Reaktion auf Zero-Day-Angriffe zu ermöglichen, einschließlich Eindämmung, Ausmerzung und Wiederherstellung.