Abo
  • Services:
Anzeige
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben.
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben. (Bild: isightspartners.com)

Windows-Exploit: Russische Hacker greifen angeblich Nato und Regierungen an

Russische Hacker sollen in den vergangenen Jahren zahlreiche Ziele im Westen und in der Ukraine angegriffen haben. Sie nutzten dabei offenbar eine Sicherheitslücke aus, die in allen aktuellen Windows-Versionen bestehen und am Dienstag gepatcht werden soll.

Anzeige

Nach Informationen der US-amerikanischen Sicherheitsfirma Isight Partners hat ein russisches Hackerteam in den vergangenen Jahren gezielt westliche Institutionen angegriffen. Betroffen von den Attacken seien die Nato, ukrainische und westeuropäische Regierungen, Energiefirmen, europäische Telekommunikationsfirmen und US-amerikanische Universitätseinrichtungen gewesen, berichtete das Unternehmen am Dienstag. In Zusammenarbeit mit Microsoft habe sich herausgestellt, dass die Hacker einen Zero-Day-Exploit (CVE-2014-4114) in allen unterstützten Windows-Versionen von Vista SP2 bis Windows 8.1 ausgenutzt hätten. Auch die Windows Server-Versionen 2008 and 2012 seien betroffen. Beim Vista-Vorgänger XP finde sich die Lücke noch nicht, sagte Isight-Direktor Stephen Ward der Washington Post.

Die Isight-Experten nannten das neu entdeckte Hackerteam Sandworm, nach den riesigen Sandwürmern aus dem Science-Fiction-Roman Dune (Düne) von Frank Herbert. Der fiktive Wüstenplanet Arrakis sei in Code oder URLs von Command-and-Control-Servern entdeckt worden. Die Server hätten dabei in Deutschland gestanden und seien schlecht gesichert gewesen, so dass Dateien in russischer Sprache gefunden worden seien. Das Team existiere vermutlich seit 2009. Seit Ende 2013 habe die Sicherheitsfirma die Angriffe beobachtet und im September 2014 die Windows-Lücke entdeckt.

Fehler in DLL-Bibliothek

Der Beschreibung der Lücke zufolge steckt der Fehler in der Bibliothek "packager.dll". Sie ist für die Behandlung von OLE-Objekten zuständig. Über diesen Windows-Mechanismus des "Object Linking and Embedding" können Dokumente in andere Dokumente eingebettet werden. So lässt sich beispielsweise ein Diagramm in ein Word-Dokument einsetzen. Die beiden Quellen sind dabei verbunden und Änderungen am Diagramm tauchen auch in Word auf.

Der Packager behandelt aber auch andere Dateitypen, im Falle der nun gefundenen Lücke .inf-Dateien, was fatal sein kann. Eine solche Datei enthält üblicherweise einen Text mit Installationsanweisungen. Dabei kann es sich um Programme oder Treiber handeln, deren Installation nun auch über ein OLE-Objekt gestartet werden kann. Das Öffnen eines entsprechend präparierten Dokuments kann also zur Installation von Code führen, der auch aus dem Internet heruntergeladen werden kann. Die standardmäßig ab Windows Vista aktivierte Benutzerkontensteuerung (UAC), die vor jeder Installation warnt, kann damit aber offenbar nicht umgangen werden. Ist diese jedoch ausgeschaltet, was gerade zu Zeiten von Vista wegen seiner sehr aufdringlichen Warnhinweise beliebt war, gibt es keine weitere Warnung mehr. Das setzt aber auch noch Administratorrechte voraus.

Angriffe über Spear-Phishing

Da die Packager.dll erst mit Vista eingeführt wurde - unter Windows XP war Packager.exe dafür zuständig - sind alle Versionen seit Vista davon betroffen, also auch Windows 7, Windows 8 und 8.1 sowie Windows Server 2008 und 2012. Die Lücke soll am Dienstag mit dem Sicherheitsbulletin MS14-060 gepatcht werden.

Dem Bericht zufolge entdeckte Isight im August 2014 eine sogenannte Spear-Phishing-Attacke auf die ukrainische Regierung und eine US-Organisation mit einem manipulierten Powerpoint-Dokument. Beim Spear-Phishing werden speziell auf das Opfer zugeschnittene E-Mails eingesetzt, die zum Öffnen des manipulierten Dokuments bewegen sollen. Die Attacken seien zeitlich mit dem Ukraine-Gipfel in Wales zusammengefallen. Neben der Windows-Lücke hätten die Hacker auch sogenannte Blackenergy-Programme eingesetzt, bei denen möglichst viele Lücken gleichzeitig ausgenutzt werden sollten. Eine polnische Energiefirma sei zudem mit der Tiff-Sicherheitslücke CVE-2013-3906 angegriffen worden, die im November 2013 bekanntgeworden war.

Nach Ansicht von Isight Partners stehen die Sandworm-Attacken im Zusammenhang mit einer ganzen Reihe von Angriffen aus dem russischen Raum. Mindestens fünf Teams würden derzeit beobachtet. Zuletzt wurde über ein "Zar-Team" berichtet, das mit Hilfe von Schadprogrammen für mobile Geräte die US-Regierung und Energiefirmen ausspionieren wolle. Für Isight-Direktor Ward lassen die Attacken eindeutig auf Spionageaktivitäten schließen. "Alle Hinweise, von der Auswahl der Ziele und der Köder, weisen auf eine Spionage im Interesse Russlands hin", sagte er der Washington Post. Die russische Regierung habe solche Vorwürfe in der Vergangenheit zurückgewiesen. Über den Erfolg der Sandworm-Angriffe konnte Isights keine genauen Angaben machen. Bestimmte Ziele, beispielsweise innerhalb der ukrainischen Regierung, seien jedoch kompromittiert gewesen.


eye home zur Startseite
flurreh 29. Okt 2014

Nö, wenn sie bekannt wurde ist sie das nicht mehr.

SelfEsteem 15. Okt 2014

Vergiss die Chinesen nicht! Hmm ... hab heute irgendwie einen politisch hochgradig...

SelfEsteem 15. Okt 2014

Och, man muss halt fuer sich entscheiden, wie man damit umgeht. Ich persoenlich wuerde...

plutoniumsulfat 14. Okt 2014

Artikel nicht gelesen? Edit: R

knete 14. Okt 2014

mich erinnert das an Dune



Anzeige

Stellenmarkt
  1. HORIBA Europe GmbH, Oberursel
  2. CITYCOMP Service GmbH, deutschlandweit
  3. EschmannStahl GmbH & Co. KG, Reichshof
  4. Packsize GmbH, Herford (Home-Office)


Anzeige
Top-Angebote
  1. (u. a. Warcraft: The Beginning, Fast & Furious 7, Fast & Furious 6, Jurassic World, Gladiator und...
  2. 59,90€ (Vergleichspreis ca. 79€)
  3. 529€ + 1,99€ Versand oder Abholung im Markt

Folgen Sie uns
       


  1. Mobiles Betriebssystem

    Apple veröffentlicht überraschend iOS 11.0.1

  2. Banking-App

    Outbank im Insolvenzverfahren

  3. Glasfaser

    Telekom wegen fehlendem FTTH massiv unter Druck

  4. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  5. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  6. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  7. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  8. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  9. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  10. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Die Woche im Video Schwachstellen, wohin man schaut
  2. Drei Modelle vorgestellt Elektrokleinwagen e.Go erhöht die Spannung
  3. Automated Valet Parking Lass das Parkhaus das Auto parken!

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Re: Zusammenhang Dateisystem und Anwendung

    User_x | 23:55

  2. Re: Verstehe ich nicht

    LIGHTSABER96 | 23:54

  3. Re: Ruin durch übertriebene Rendite-Erwartungen

    Deff-Zero | 23:52

  4. Re: Oh man wie hab ich drauf gewartet!

    nachgefragt | 23:52

  5. Re: Beamten-Taugenichtse (kwt)

    User_x | 23:51


  1. 23:09

  2. 19:13

  3. 18:36

  4. 17:20

  5. 17:00

  6. 16:44

  7. 16:33

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel