Abo
  • Services:
Anzeige
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben.
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben. (Bild: isightspartners.com)

Windows-Exploit: Russische Hacker greifen angeblich Nato und Regierungen an

Russische Hacker sollen in den vergangenen Jahren zahlreiche Ziele im Westen und in der Ukraine angegriffen haben. Sie nutzten dabei offenbar eine Sicherheitslücke aus, die in allen aktuellen Windows-Versionen bestehen und am Dienstag gepatcht werden soll.

Anzeige

Nach Informationen der US-amerikanischen Sicherheitsfirma Isight Partners hat ein russisches Hackerteam in den vergangenen Jahren gezielt westliche Institutionen angegriffen. Betroffen von den Attacken seien die Nato, ukrainische und westeuropäische Regierungen, Energiefirmen, europäische Telekommunikationsfirmen und US-amerikanische Universitätseinrichtungen gewesen, berichtete das Unternehmen am Dienstag. In Zusammenarbeit mit Microsoft habe sich herausgestellt, dass die Hacker einen Zero-Day-Exploit (CVE-2014-4114) in allen unterstützten Windows-Versionen von Vista SP2 bis Windows 8.1 ausgenutzt hätten. Auch die Windows Server-Versionen 2008 and 2012 seien betroffen. Beim Vista-Vorgänger XP finde sich die Lücke noch nicht, sagte Isight-Direktor Stephen Ward der Washington Post.

Die Isight-Experten nannten das neu entdeckte Hackerteam Sandworm, nach den riesigen Sandwürmern aus dem Science-Fiction-Roman Dune (Düne) von Frank Herbert. Der fiktive Wüstenplanet Arrakis sei in Code oder URLs von Command-and-Control-Servern entdeckt worden. Die Server hätten dabei in Deutschland gestanden und seien schlecht gesichert gewesen, so dass Dateien in russischer Sprache gefunden worden seien. Das Team existiere vermutlich seit 2009. Seit Ende 2013 habe die Sicherheitsfirma die Angriffe beobachtet und im September 2014 die Windows-Lücke entdeckt.

Fehler in DLL-Bibliothek

Der Beschreibung der Lücke zufolge steckt der Fehler in der Bibliothek "packager.dll". Sie ist für die Behandlung von OLE-Objekten zuständig. Über diesen Windows-Mechanismus des "Object Linking and Embedding" können Dokumente in andere Dokumente eingebettet werden. So lässt sich beispielsweise ein Diagramm in ein Word-Dokument einsetzen. Die beiden Quellen sind dabei verbunden und Änderungen am Diagramm tauchen auch in Word auf.

Der Packager behandelt aber auch andere Dateitypen, im Falle der nun gefundenen Lücke .inf-Dateien, was fatal sein kann. Eine solche Datei enthält üblicherweise einen Text mit Installationsanweisungen. Dabei kann es sich um Programme oder Treiber handeln, deren Installation nun auch über ein OLE-Objekt gestartet werden kann. Das Öffnen eines entsprechend präparierten Dokuments kann also zur Installation von Code führen, der auch aus dem Internet heruntergeladen werden kann. Die standardmäßig ab Windows Vista aktivierte Benutzerkontensteuerung (UAC), die vor jeder Installation warnt, kann damit aber offenbar nicht umgangen werden. Ist diese jedoch ausgeschaltet, was gerade zu Zeiten von Vista wegen seiner sehr aufdringlichen Warnhinweise beliebt war, gibt es keine weitere Warnung mehr. Das setzt aber auch noch Administratorrechte voraus.

Angriffe über Spear-Phishing

Da die Packager.dll erst mit Vista eingeführt wurde - unter Windows XP war Packager.exe dafür zuständig - sind alle Versionen seit Vista davon betroffen, also auch Windows 7, Windows 8 und 8.1 sowie Windows Server 2008 und 2012. Die Lücke soll am Dienstag mit dem Sicherheitsbulletin MS14-060 gepatcht werden.

Dem Bericht zufolge entdeckte Isight im August 2014 eine sogenannte Spear-Phishing-Attacke auf die ukrainische Regierung und eine US-Organisation mit einem manipulierten Powerpoint-Dokument. Beim Spear-Phishing werden speziell auf das Opfer zugeschnittene E-Mails eingesetzt, die zum Öffnen des manipulierten Dokuments bewegen sollen. Die Attacken seien zeitlich mit dem Ukraine-Gipfel in Wales zusammengefallen. Neben der Windows-Lücke hätten die Hacker auch sogenannte Blackenergy-Programme eingesetzt, bei denen möglichst viele Lücken gleichzeitig ausgenutzt werden sollten. Eine polnische Energiefirma sei zudem mit der Tiff-Sicherheitslücke CVE-2013-3906 angegriffen worden, die im November 2013 bekanntgeworden war.

Nach Ansicht von Isight Partners stehen die Sandworm-Attacken im Zusammenhang mit einer ganzen Reihe von Angriffen aus dem russischen Raum. Mindestens fünf Teams würden derzeit beobachtet. Zuletzt wurde über ein "Zar-Team" berichtet, das mit Hilfe von Schadprogrammen für mobile Geräte die US-Regierung und Energiefirmen ausspionieren wolle. Für Isight-Direktor Ward lassen die Attacken eindeutig auf Spionageaktivitäten schließen. "Alle Hinweise, von der Auswahl der Ziele und der Köder, weisen auf eine Spionage im Interesse Russlands hin", sagte er der Washington Post. Die russische Regierung habe solche Vorwürfe in der Vergangenheit zurückgewiesen. Über den Erfolg der Sandworm-Angriffe konnte Isights keine genauen Angaben machen. Bestimmte Ziele, beispielsweise innerhalb der ukrainischen Regierung, seien jedoch kompromittiert gewesen.


eye home zur Startseite
flurreh 29. Okt 2014

Nö, wenn sie bekannt wurde ist sie das nicht mehr.

SelfEsteem 15. Okt 2014

Vergiss die Chinesen nicht! Hmm ... hab heute irgendwie einen politisch hochgradig...

SelfEsteem 15. Okt 2014

Och, man muss halt fuer sich entscheiden, wie man damit umgeht. Ich persoenlich wuerde...

plutoniumsulfat 14. Okt 2014

Artikel nicht gelesen? Edit: R

knete 14. Okt 2014

mich erinnert das an Dune



Anzeige

Stellenmarkt
  1. Dataport, Altenholz / Kiel
  2. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe
  3. Zentrum Bayern Familie und Soziales, München, Bayreuth
  4. Worldline GmbH, Aachen


Anzeige
Spiele-Angebote
  1. 109,99€/119,99€ (Vorbesteller-Preisgarantie)
  2. 389,99€
  3. (-15%) 29,59€

Folgen Sie uns
       


  1. Experten fordern Grenzen

    Smartphones können Kinder krank machen

  2. Wifi4EU

    EU will kostenlose WLAN-Hotspots fördern

  3. In eigener Sache

    Studentenrabatt für die große Quantenkonferenz von Golem.de

  4. Obsoleszenz

    Apple repariert zahlreiche Macbooks ab Mitte 2017 nicht mehr

  5. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  6. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  7. Square Enix

    Neustart für das Final Fantasy 7 Remake

  8. Agesa 1006

    Ryzen unterstützt DDR4-4000

  9. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  10. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

  1. Re: Ein Auto steht 22h am Tag irgendwo rum

    Berner Rösti | 09:04

  2. Re: In NL funktioniert es perfekt!

    mannzi | 09:03

  3. Re: 100% Pragmatismus - würde woanders auch gut...

    Dwalinn | 09:02

  4. Re: Total verständlich.

    Dino13 | 09:01

  5. sind jegliche Private wie auch Uni netze gemeint?

    mannzi | 09:00


  1. 09:08

  2. 08:30

  3. 08:21

  4. 07:17

  5. 18:08

  6. 17:37

  7. 16:55

  8. 16:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel