Finspy: Neuer Staatstrojaner-Exploit in RTF-Dokument gefunden

Ein verseuchtes Word-Dokument oder eine Spam-E-Mail zu öffnen reicht, um einen aktuellen Exploit in .Net zu triggern. Die Sicherheitslücke soll bereits genutzt worden sein, um Finfisher-Staatstrojaner zu verteilen.

Artikel veröffentlicht am ,
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen.
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen. (Bild: Andreas Donath)

Die Sicherheitsfirma Fireeye hat einen Exploit in Microsofts Office-Suite entdeckt, der genutzt wurde, um Spyware der umstrittenen Firma Finfisher auszuliefern. Ziel der aktuellen Kampagne sei vermutlich eine Person oder Behörde in Russland gewesen.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w)
    THD - Technische Hochschule Deggendorf, Spiegelau
  2. IT Specialist Messaging - Exchange (m/w/d)
    Dr. August Oetker Nahrungsmittel KG, Bielefeld
Detailsuche

Microsoft hat die Sicherheitslücke mit der Bezeichnung CVE-2017-8759 am aktuellen Patchday geschlossen. Öffnet ein Nutzer ein entsprechend präpariertes RTF-Dokument, kann im Hintergrund Schadcode geladen werden, wenn Nutzer die geschützte Ansicht deaktiveren. Für einen Exploit ist es nicht erforderlich, Makros oder aktive Inhalte bewusst auszuführen. Auch das Öffnen einer Spam-Mail soll den Exploit triggern können.

Fehler liegt nicht in Office selbst

Der Exploit soll nicht in den Kernfunktionen von Microsoft Office liegen, sondern die SOAP-Rendering-Funktionen von .Net betreffen. Dabei bekommt der Rechner des Opfers einen Befehl in der Web-Services-Description-Language (WSDL) von einem Server des Angreifers zugesendet. Der WSDL-Parser des .Net-Frameworks verarbeitet diesen Befehl dann und legt den generierten Sourcecode ab. Dieser wiederum wird dann durch .Net in eine Bibliothek kompiliert und diese von Office geladen. Danach wird ein weiteres Skript heruntergeladen, das die eigentliche Finspy-Malware installiert.

Die Angriffe mit dem Exploit sollen sehr gezielt gewesen sein, also nur wenige Personen betreffen. Microsoft gibt an, dass die ATP-Version von Windows-Defender mehrere solcher Angriffe abwehren konnte. Fireeye geht davon aus, dass das Ziel des Angriffs in Russland gewesen sei. Außerdem gehe man mit "moderater Sicherheit" davon aus, dass ein staatlicher Akteur hinter dem Angriff stehe. Finfisher verkauft nach eigenen Angaben nur an Staaten.

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
Weitere IT-Trainings

Es ist bereits die zweite Sicherheitslücke dieser Art, die Fireye in diesem Jahr präsentiert. Bereits im April hatte die Organisation gemeinsam mit dem Hacker Claudio Guarnieri einen ähnlichen Exploit demonstriert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk erzählt, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Sexismus: Mitarbeiter von Blizzard wenden sich gegen Management
    Sexismus
    Mitarbeiter von Blizzard wenden sich gegen Management

    Der Konflikt bei Activision Blizzard eskaliert, die Arbeit an World of Warcraft soll weitgehend eingestellt sein.

  2. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

  3. Energiespeicher: Tesla nennt Preis für Megapack-Akku mit 3 MWh
    Energiespeicher
    Tesla nennt Preis für Megapack-Akku mit 3 MWh

    Das Tesla Megapack ist ein industrielles Akkusystem mit einer Kapazität von 3 Megawattstunden. Nun wurde der Online-Konfiguratur online gestellt.


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /