Abo
  • Services:
Anzeige
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben.
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben. (Bild: isightspartners.com)

Windows-Exploit: Russische Hacker greifen angeblich Nato und Regierungen an

Russische Hacker sollen in den vergangenen Jahren zahlreiche Ziele im Westen und in der Ukraine angegriffen haben. Sie nutzten dabei offenbar eine Sicherheitslücke aus, die in allen aktuellen Windows-Versionen bestehen und am Dienstag gepatcht werden soll.

Anzeige

Nach Informationen der US-amerikanischen Sicherheitsfirma Isight Partners hat ein russisches Hackerteam in den vergangenen Jahren gezielt westliche Institutionen angegriffen. Betroffen von den Attacken seien die Nato, ukrainische und westeuropäische Regierungen, Energiefirmen, europäische Telekommunikationsfirmen und US-amerikanische Universitätseinrichtungen gewesen, berichtete das Unternehmen am Dienstag. In Zusammenarbeit mit Microsoft habe sich herausgestellt, dass die Hacker einen Zero-Day-Exploit (CVE-2014-4114) in allen unterstützten Windows-Versionen von Vista SP2 bis Windows 8.1 ausgenutzt hätten. Auch die Windows Server-Versionen 2008 and 2012 seien betroffen. Beim Vista-Vorgänger XP finde sich die Lücke noch nicht, sagte Isight-Direktor Stephen Ward der Washington Post.

Die Isight-Experten nannten das neu entdeckte Hackerteam Sandworm, nach den riesigen Sandwürmern aus dem Science-Fiction-Roman Dune (Düne) von Frank Herbert. Der fiktive Wüstenplanet Arrakis sei in Code oder URLs von Command-and-Control-Servern entdeckt worden. Die Server hätten dabei in Deutschland gestanden und seien schlecht gesichert gewesen, so dass Dateien in russischer Sprache gefunden worden seien. Das Team existiere vermutlich seit 2009. Seit Ende 2013 habe die Sicherheitsfirma die Angriffe beobachtet und im September 2014 die Windows-Lücke entdeckt.

Fehler in DLL-Bibliothek

Der Beschreibung der Lücke zufolge steckt der Fehler in der Bibliothek "packager.dll". Sie ist für die Behandlung von OLE-Objekten zuständig. Über diesen Windows-Mechanismus des "Object Linking and Embedding" können Dokumente in andere Dokumente eingebettet werden. So lässt sich beispielsweise ein Diagramm in ein Word-Dokument einsetzen. Die beiden Quellen sind dabei verbunden und Änderungen am Diagramm tauchen auch in Word auf.

Der Packager behandelt aber auch andere Dateitypen, im Falle der nun gefundenen Lücke .inf-Dateien, was fatal sein kann. Eine solche Datei enthält üblicherweise einen Text mit Installationsanweisungen. Dabei kann es sich um Programme oder Treiber handeln, deren Installation nun auch über ein OLE-Objekt gestartet werden kann. Das Öffnen eines entsprechend präparierten Dokuments kann also zur Installation von Code führen, der auch aus dem Internet heruntergeladen werden kann. Die standardmäßig ab Windows Vista aktivierte Benutzerkontensteuerung (UAC), die vor jeder Installation warnt, kann damit aber offenbar nicht umgangen werden. Ist diese jedoch ausgeschaltet, was gerade zu Zeiten von Vista wegen seiner sehr aufdringlichen Warnhinweise beliebt war, gibt es keine weitere Warnung mehr. Das setzt aber auch noch Administratorrechte voraus.

Angriffe über Spear-Phishing

Da die Packager.dll erst mit Vista eingeführt wurde - unter Windows XP war Packager.exe dafür zuständig - sind alle Versionen seit Vista davon betroffen, also auch Windows 7, Windows 8 und 8.1 sowie Windows Server 2008 und 2012. Die Lücke soll am Dienstag mit dem Sicherheitsbulletin MS14-060 gepatcht werden.

Dem Bericht zufolge entdeckte Isight im August 2014 eine sogenannte Spear-Phishing-Attacke auf die ukrainische Regierung und eine US-Organisation mit einem manipulierten Powerpoint-Dokument. Beim Spear-Phishing werden speziell auf das Opfer zugeschnittene E-Mails eingesetzt, die zum Öffnen des manipulierten Dokuments bewegen sollen. Die Attacken seien zeitlich mit dem Ukraine-Gipfel in Wales zusammengefallen. Neben der Windows-Lücke hätten die Hacker auch sogenannte Blackenergy-Programme eingesetzt, bei denen möglichst viele Lücken gleichzeitig ausgenutzt werden sollten. Eine polnische Energiefirma sei zudem mit der Tiff-Sicherheitslücke CVE-2013-3906 angegriffen worden, die im November 2013 bekanntgeworden war.

Nach Ansicht von Isight Partners stehen die Sandworm-Attacken im Zusammenhang mit einer ganzen Reihe von Angriffen aus dem russischen Raum. Mindestens fünf Teams würden derzeit beobachtet. Zuletzt wurde über ein "Zar-Team" berichtet, das mit Hilfe von Schadprogrammen für mobile Geräte die US-Regierung und Energiefirmen ausspionieren wolle. Für Isight-Direktor Ward lassen die Attacken eindeutig auf Spionageaktivitäten schließen. "Alle Hinweise, von der Auswahl der Ziele und der Köder, weisen auf eine Spionage im Interesse Russlands hin", sagte er der Washington Post. Die russische Regierung habe solche Vorwürfe in der Vergangenheit zurückgewiesen. Über den Erfolg der Sandworm-Angriffe konnte Isights keine genauen Angaben machen. Bestimmte Ziele, beispielsweise innerhalb der ukrainischen Regierung, seien jedoch kompromittiert gewesen.


eye home zur Startseite
flurreh 29. Okt 2014

Nö, wenn sie bekannt wurde ist sie das nicht mehr.

SelfEsteem 15. Okt 2014

Vergiss die Chinesen nicht! Hmm ... hab heute irgendwie einen politisch hochgradig...

SelfEsteem 15. Okt 2014

Och, man muss halt fuer sich entscheiden, wie man damit umgeht. Ich persoenlich wuerde...

plutoniumsulfat 14. Okt 2014

Artikel nicht gelesen? Edit: R

knete 14. Okt 2014

mich erinnert das an Dune



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Stuttgart
  2. Daimler AG, Kirchheim unter Teck
  3. Daimler AG, Böblingen
  4. Daimler AG, Stuttgart


Anzeige
Spiele-Angebote
  1. 53,99€
  2. (-77%) 3,49€
  3. 1,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  2. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  3. Cryptowars

    "Kein geheimer Ort für Terroristen"

  4. Trello

    Atlassian setzt alles auf eine Karte

  5. Endless Runway

    Der Flughafen wird rund

  6. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  7. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  8. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate

  9. Azure Service Fabric

    Microsoft legt wichtige Cloud-Werkzeuge offen

  10. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Patentantrag Apple will iPhone ins Macbook stecken
  2. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  3. Instandsetzung Apple macht iPhone-Reparaturen teurer

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Dieter Lauinger Minister fordert Gesetz gegen Hasskommentare noch vor Wahl
  2. Messenger Facebook sagt "Daumen runter"
  3. Let's Play Facebook ermöglicht Livevideos vom PC

  1. Re: Das ist (auch) kein Elektroauto!!!!!

    azeu | 22:20

  2. Re: Funktioniert super!

    Prinzeumel | 22:20

  3. Re: Ihr versteht alle den Artikel nicht

    Atraides | 22:19

  4. Re: Wird auch langsam Zeit! [WoSign, StartCom]

    My1 | 22:18

  5. Re: Das hat man auch vom Transrapid gesagt

    Prinzeumel | 22:12


  1. 18:55

  2. 18:18

  3. 18:08

  4. 17:48

  5. 17:23

  6. 17:07

  7. 16:20

  8. 16:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel