Vor wenigen Wochen machte die Double-Kill-Attacke Schlagzeilen. Hacker haben eine Sicherheitslücke im Internet Explorer ausgenutzt, um Windows-PCs mit Schadprogrammen zu infizieren. Mittels eines speziell präparierten Office-Dokuments wurde eine Malware heruntergeladen und unbemerkt auf dem Computer installiert. Es wird gemutmaßt, dass hinter dem Angriff gezielte Spionageabsichten stecken. Mittlerweile wurde die Sicherheitslücke behoben, aber die Gefahr ist noch lange nicht gebannt.
Marina Kidron, Director of Threat Intelligence am Skybox Research Lab, ist sich sicher: “Wir werden in Zukunft ähnliche Angriffe sehen und es ist nur eine Frage der Zeit, bis dieses Exploit für weniger gezielte Zwecke ausgenutzt wird. Neben Unternehmen sind auch Privatpersonen besonders gefährdet und müssen ihre Sicherheitseinstellungen überdenken.”
Infektion springt von Office zum Explorer
Der Double-Kill-Angriff wurde initiiert, sobald der Windows-Nutzer eine RTF-Datei mit Microsoft Word geöffnet oder eine speziell gestaltete Website besucht hat. Diese Angriffsmethode unterscheidet sich von ähnlichen Attacken durch das Laden einer HTML-Seite mit VBScript, welches Filter, die nach verdächtigen Dateitypen suchen, umgeht und von der VBScript Engine ausgeführt wird. Dieser Sprung von Microsoft Office zum Internet Explorer Kernel ist der entscheidende Knackpunkt dieser Sicherheitslücke und wurde noch nie zuvor im Exploit Code gesehen. Die Aufdeckung dieser Schwachstelle kann daher der Türöffner für ähnliche Angriffspläne anderer Bedrohungsarten sein.
Skybox Research Lab hat Bedrohungslage im Blick
Das Skybox Vulnerability Center veröffentlicht derzeit Informationen zur Double-Kill-Schwachstelle. Mittels einer Schwachstellenbewertung ohne aktiven Scan soll das Vorhandensein einer Schwachstelle in einer Kundenumgebung abgeleitet werden. Sicherheitslücken werden dann in ein Angriffsflächenmodell integriert, das die Netzwerktopologie, Sicherheitskontrollen und Ressourcen umfasst. An dem Modell werden Angriffssimulationen durchgeführt, wobei die Daten des Informations-Feeds verwendet werden, um anfällige Assets zu ermitteln, die direkt oder indirekt einem potenziellen Angriff ausgesetzt sind.
Zeichenzahl: 2.547 (mit Leerzeichen)
Kontakt
Skybox Security
Aljona Jauk
Theresienstr. 43
80333 München
+49 89 3888 920 15
SkyboxGer@onechocolatecomms.de
www.skyboxsecurity.com/DACH
Aljona Jauk
Skybox Security
SkyboxGer@onechocolatecomms.de
http://www.skyboxsecurity.com/DACH