Abo
  • Services:
Anzeige
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen.
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen. (Bild: Andreas Donath/Golem.de)

Finspy: Neuer Staatstrojaner-Exploit in RTF-Dokument gefunden

Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen.
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen. (Bild: Andreas Donath/Golem.de)

Ein verseuchtes Word-Dokument oder eine Spam-E-Mail zu öffnen reicht, um einen aktuellen Exploit in .Net zu triggern. Die Sicherheitslücke soll bereits genutzt worden sein, um Finfisher-Staatstrojaner zu verteilen.

Die Sicherheitsfirma Fireeye hat einen Exploit in Microsofts Office-Suite entdeckt, der genutzt wurde, um Spyware der umstrittenen Firma Finfisher auszuliefern. Ziel der aktuellen Kampagne sei vermutlich eine Person oder Behörde in Russland gewesen.

Anzeige

Microsoft hat die Sicherheitslücke mit der Bezeichnung CVE-2017-8759 am aktuellen Patchday geschlossen. Öffnet ein Nutzer ein entsprechend präpariertes RTF-Dokument, kann im Hintergrund Schadcode geladen werden, wenn Nutzer die geschützte Ansicht deaktiveren. Für einen Exploit ist es nicht erforderlich, Makros oder aktive Inhalte bewusst auszuführen. Auch das Öffnen einer Spam-Mail soll den Exploit triggern können.

Fehler liegt nicht in Office selbst

Der Exploit soll nicht in den Kernfunktionen von Microsoft Office liegen, sondern die SOAP-Rendering-Funktionen von .Net betreffen. Dabei bekommt der Rechner des Opfers einen Befehl in der Web-Services-Description-Language (WSDL) von einem Server des Angreifers zugesendet. Der WSDL-Parser des .Net-Frameworks verarbeitet diesen Befehl dann und legt den generierten Sourcecode ab. Dieser wiederum wird dann durch .Net in eine Bibliothek kompiliert und diese von Office geladen. Danach wird ein weiteres Skript heruntergeladen, das die eigentliche Finspy-Malware installiert.

Die Angriffe mit dem Exploit sollen sehr gezielt gewesen sein, also nur wenige Personen betreffen. Microsoft gibt an, dass die ATP-Version von Windows-Defender mehrere solcher Angriffe abwehren konnte. Fireeye geht davon aus, dass das Ziel des Angriffs in Russland gewesen sei. Außerdem gehe man mit "moderater Sicherheit" davon aus, dass ein staatlicher Akteur hinter dem Angriff stehe. Finfisher verkauft nach eigenen Angaben nur an Staaten.

Es ist bereits die zweite Sicherheitslücke dieser Art, die Fireye in diesem Jahr präsentiert. Bereits im April hatte die Organisation gemeinsam mit dem Hacker Claudio Guarnieri einen ähnlichen Exploit demonstriert.


eye home zur Startseite

Kommentieren



Anzeige

Stellenmarkt
  1. Qioptiq Photonics GmbH & Co. KG, Feldkirchen
  2. Consultix GmbH, Bremen
  3. SCHOTT AG, Mitterteich
  4. KfW Bankengruppe, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)
  2. 12,85€ + 5€ FSK18-Versand

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

  1. Re: ¤3000 bei ¤70k.... macht keinen grossen...

    Onkel Ho | 03:25

  2. Re: Für mich nicht nachvollziehbar

    Nibbels | 03:09

  3. Re: Amateure

    honna1612 | 02:29

  4. Re: Der Preis war schon damals ok

    packansack | 01:56

  5. Re: Nutzen von ECC?

    Mechwarrior | 01:49


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel