Kürzlich wurde eine bedeutende Sicherheitslücke in Microsoft Windows SmartScreen, einem integralen Bestandteil der Windows-Sicherheitsarchitektur, aufgedeckt. Diese Lücke, bekannt als CVE-2024-21412, ermöglicht es Cyberkriminellen, das SmartScreen-Feature zu umgehen, welches darauf ausgelegt ist, Nutzer vor dem Herunterladen und Ausführen potenziell gefährlicher Software zu schützen.
Die SmartScreen-Funktion, die seit Windows 8 ein fester Bestandteil des Betriebssystems ist, markiert Downloads aus dem Internet mit einem „Mark of the Web“ (MotW)-Flag. Wenn Benutzer versuchen, eine Anwendung herunterzuladen oder eine Website zu besuchen, überprüft SmartScreen die Reputation der Datei oder der Website. Es nutzt Informationen über bekannte Sicherheitsbedrohungen aus einer umfangreichen Datenbank, um zu bewerten, ob das Herunterladen oder der Zugriff sicher ist.
Die Schwachstelle ermöglicht es jedoch Angreifern, diesen Schutzmechanismus zu umgehen, indem sie den Nutzern vortäuschen, harmlose Inhalte herunterzuladen, während im Hintergrund schädlicher Code eingeschleust wird. Die Angreifer haben dann die Möglichkeit, diesen Fehler aus der Distanz zu nutzen, indem sie eine manipulierte Windows-Internetverknüpfung (.url-Datei) so einrichten, dass sie Dateien auf dem angegriffenen System ausführt. Im weiteren VVerlauf kam dann auch noch eine unter dem Namen DarkGate geführte Malware zum Einsatz. Hierbei erfolgt die Infektion zunächst durch eine schädliche E-Mail, die einen PDF-Anhang umfasst. Dieser Anhang verfügt über Links, die über Umwege – unter Einsatz der Google DoubleClick Digital Marketing-Dienste – auf einen manipulierten Webserver weiterleiten, auf dem eine Datei für Internet-Verknüpfungen bereitgestellt wird.
Die Gruppe, die für die Ausnutzung dieser Lücke bekannt wurde, nennt sich Water Hydra, auch bekannt unter dem Namen DarkCasino. Sie hat sich in der Vergangenheit durch gezielte Angriffe auf den Finanzsektor hervorgetan und nutzt ausgeklügeltes Social Engineering, um potenzielle Opfer anzulocken.
Microsofts schnelle Reaktion auf die Entdeckung dieser Sicherheitslücke, indem ein Patch bereitgestellt wurde, ist ein positives Beispiel dafür, wie Unternehmen auf Bedrohungen reagieren sollten. Richard Werner, ein Berater bei Trend Micro, weist jedoch darauf hin, dass die Anzahl der Softwareschwachstellen dramatisch angestiegen ist. Dazu kommt, dass aktuell noch viele ungepatchte Systeme über das Internet erreichbar zu sein scheinen, obwohl ein schnelles Handeln in einem solchen Fall unerlässlich ist.
Wenn Sie an einer Beratung zum Thema IT-Sicherheit interessiert sind, sprechen Sie uns gerne an.
