Für Ransomware-Angriffe: Windows-Lücke wohl wochenlang als Zero Day missbraucht
Eine Hackergruppe namens Cardinal, die für die Verbreitung der Ransomware Black Basta bekannt ist, hat offenbar eine Sicherheitslücke im Windows Reporting Service als Zero-Day-Schwachstelle ausgenutzt, bevor Microsoft dafür im März einen Patch bereitgestellt hat. Entsprechende Hinweise haben Sicherheitsforscher von Symantec bei der Analyse eines von den Angreifern verwendeten Exploit-Tools entdeckt.
Wie aus dem Bericht der Forscher(öffnet im neuen Fenster) hervorgeht, wurde das Tool bei einem kürzlich versuchten Ransomware-Angriff eingesetzt. Dieser spezifische Angriff sei zwar nicht erfolgreich gewesen, jedoch seien die dabei verwendeten Techniken und Abläufe jenen früherer Black-Basta-Aktivitäten ähnlich gewesen, vor denen Microsoft erst im Mai warnte .
Spuren reichen zurück bis Dezember 2023
Nach Angaben des Symantec Threat Hunter Teams hatte das untersuchte Exploit-Tool einen Kompilierungszeitstempel vom 27. Februar 2024. Eine zweite Variante des Tools sei außerdem auf Virustotal entdeckt worden - mit einem Zeitstempel vom 18. Dezember 2023. Einen Patch für die als CVE-2024-26169(öffnet im neuen Fenster) registrierte Sicherheitslücke, die mit dem Tool ausgenutzt wird, gibt es jedoch erst seit dem 12. März 2024.
"Zeitstempelwerte in portablen ausführbaren Dateien sind veränderbar, was bedeutet, dass ein Zeitstempel kein sicherer Beweis dafür ist, dass die Angreifer den Exploit als Zero Day nutzten" , erklären die Forscher. Jedoch betonen sie, dass es für die Angreifer in diesem Fall wenig Motivation gebe, den Zeitstempel manuell auf ein früheres Datum zu ändern.
Microsoft weiß wohl noch nichts von der Ausnutzung
Der Schweregrad der besagten Sicherheitslücke ist als hoch (Common Vulnerability Scoring System, CVSS: 7,8) eingestuft. Diese ermöglicht es Angreifern, auf einem Zielrechner Systemrechte zu erlangen. Betroffen sind neben Windows 10 und 11 auch mehrere Windows-Server-Versionen ab 2012 aufwärts.
Vorab ist laut Microsoft ein lokaler Zugriff erforderlich, so dass zunächst ein erfolgreicher Phishingangriff oder eine Kombination mit einer anderen Schwachstelle notwendig ist, um CVE-2024-26169 ausnutzen zu können. In Microsofts Meldung zu der Sicherheitslücke(öffnet im neuen Fenster) heißt es nach wie vor, dem Konzern seien keine Fälle einer aktiven Ausnutzung bekannt und eine Ausnutzung sei "weniger wahrscheinlich" .
Mit der Black-Basta-Ransomware wurden in der Vergangenheit bereits zahlreiche bekannte Organisationen attackiert, darunter die Autovermietung Sixt , der Fahrzeughersteller Hyundai , die Deutsche Presse-Agentur . Microsoft warnte erst kürzlich davor, dass Hacker das unter Windows vorinstallierte Tool Remotehilfe einsetzen , um Black Basta zu verbreiten.