Finspy: Neuer Staatstrojaner-Exploit in RTF-Dokument gefunden

Ein verseuchtes Word-Dokument oder eine Spam-E-Mail zu öffnen reicht, um einen aktuellen Exploit in .Net zu triggern. Die Sicherheitslücke soll bereits genutzt worden sein, um Finfisher-Staatstrojaner zu verteilen.

Artikel veröffentlicht am ,
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen.
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen. (Bild: Andreas Donath)

Die Sicherheitsfirma Fireeye hat einen Exploit in Microsofts Office-Suite entdeckt, der genutzt wurde, um Spyware der umstrittenen Firma Finfisher auszuliefern. Ziel der aktuellen Kampagne sei vermutlich eine Person oder Behörde in Russland gewesen.

Stellenmarkt
  1. SAP Modul Berater und Berechtigungsexperte (m/w/d)
    PFW - Aerospace GmbH, Speyer
  2. Product Owner (m/w/d) Vertriebssysteme/CRM
    Württembergische Versicherung AG, Stuttgart
Detailsuche

Microsoft hat die Sicherheitslücke mit der Bezeichnung CVE-2017-8759 am aktuellen Patchday geschlossen. Öffnet ein Nutzer ein entsprechend präpariertes RTF-Dokument, kann im Hintergrund Schadcode geladen werden, wenn Nutzer die geschützte Ansicht deaktiveren. Für einen Exploit ist es nicht erforderlich, Makros oder aktive Inhalte bewusst auszuführen. Auch das Öffnen einer Spam-Mail soll den Exploit triggern können.

Fehler liegt nicht in Office selbst

Der Exploit soll nicht in den Kernfunktionen von Microsoft Office liegen, sondern die SOAP-Rendering-Funktionen von .Net betreffen. Dabei bekommt der Rechner des Opfers einen Befehl in der Web-Services-Description-Language (WSDL) von einem Server des Angreifers zugesendet. Der WSDL-Parser des .Net-Frameworks verarbeitet diesen Befehl dann und legt den generierten Sourcecode ab. Dieser wiederum wird dann durch .Net in eine Bibliothek kompiliert und diese von Office geladen. Danach wird ein weiteres Skript heruntergeladen, das die eigentliche Finspy-Malware installiert.

Die Angriffe mit dem Exploit sollen sehr gezielt gewesen sein, also nur wenige Personen betreffen. Microsoft gibt an, dass die ATP-Version von Windows-Defender mehrere solcher Angriffe abwehren konnte. Fireeye geht davon aus, dass das Ziel des Angriffs in Russland gewesen sei. Außerdem gehe man mit "moderater Sicherheit" davon aus, dass ein staatlicher Akteur hinter dem Angriff stehe. Finfisher verkauft nach eigenen Angaben nur an Staaten.

Golem Akademie
  1. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
Weitere IT-Trainings

Es ist bereits die zweite Sicherheitslücke dieser Art, die Fireye in diesem Jahr präsentiert. Bereits im April hatte die Organisation gemeinsam mit dem Hacker Claudio Guarnieri einen ähnlichen Exploit demonstriert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
E-Scooter
Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt

Mit einer Tages- oder Monatskarte des E-Scooter-Anbieters Voi sollen Nutzer so viel fahren können, wie sie wollen - können sie aber nicht.

E-Scooter: Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt
Artikel
  1. Vidme: Webseiten blenden ungewollt Pornos ein
    Vidme
    Webseiten blenden ungewollt Pornos ein

    Eine Pornowebseite hat die verwaiste Domain eines Videohosters gekauft. Auf bekannten Nachrichtenseiten wurden daraufhin Hardcore-Pornos angezeigt.

  2. Intel, Playdate, Elektroautos: Elektro boomt, Verbrenner verlieren
    Intel, Playdate, Elektroautos
    Elektro boomt, Verbrenner verlieren

    Sonst noch was? Was am 23. Juli 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Datenbank: Facebook braucht schon Jahre für MySQL-Update
    Datenbank
    Facebook braucht schon Jahre für MySQL-Update

    Das Update von MySQL 5.6 auf das aktuelle 8.0 laufe bei Facebook wegen vieler Probleme schon seit "einigen Jahren" und ist noch nicht fertig.


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • Asus TUF Gaming 27" FHD 280Hz 306,22€ • Samsung 970 Evo Plus 1TB 136,99€ • Gratis-Spiele im Epic Games Store • Alternate (u. a. be quiet Pure Wings 2 Gehäuselüfter 7,49€) • Philips 75" + Philips On-Ear-Kopfhörer 899€ • -15% auf TVs bei Ebay [Werbung]
    •  /