Ausnutzung der Windows-Sandworm-Lücke eskaliert
Kriminelle nutzen die zunächst im Rahmen gezielter Attacken auf NATO-Einrichtungen und Regierungen eingesetzte Sicherheitslücke in Windows nun, um großflächig Online-Banking-Trojaner zu verteilen.
Die nächste Runde im Lebens-Zyklus einer Sicherheitslücke hat begonnen: Im Rahmen der Sandworm-Angriffe nutzten Unbekannte eine Sicherheitslücke in Windows, um ganz gezielt Systeme der NATO und westlicher Regierungen zu infiltrieren. Nun springen die auf Online-Banking-Betrug spezialisierten Cyber-Gangs auf den Zug auf, um passende Online-Banking-Trojaner unters Volk zu bringen, berichtet der Sicherheitsspezialist Peter Kruse von CSIS.
Die Opfer erhalten dabei eine Mail mit einer angeblichen Rechnung, die in Form einer Powerpoint-Datei angehängt ist. Beim Öffnen nutzt diese dann die "Windows OLE Remote Code Execution Vulnerability" aus MS14-060 (CVE-2014-4114). Das funktioniert prinzipiell auch mit anderen Office-Formaten. Microsoft hat diese Lücke beim letzten Patchday am 14. Oktober mit einem Update geschlossen. Wer dieses Update bereits installiert hat, hat also von den Trojaner-Mails eigentlich nichts zu befürchten.
Problematisch ist allerdings, dass dieser Patch offenbar nicht gründlich genug war. McAfee berichtete bereits vor fast zwei Wochen, dass sich das Problem der OLE-Schnittstelle immer noch ausnutzen lässt. Eine passend modifizierte Variante des Sandworm-Angriffs wurde auch bereits für gezielte Angriffe eingesetzt, bestätigte daraufhin Microsoft. Bislang liegen noch keine Hinweise vor, dass diese immer noch nicht geschlossene Zero-Day-Lücke den Kriminellen bereits bekannt ist und ebenfalls in großem Stil für Online-Banking-Betrug genutzt wird. Da es noch keinen offiziellen Patch gibt, muss man selbst Hand anlegen, um sich vorbeugend zu schützen. Der einfachste Weg ist die Installation des von Microsoft bereit gestellten Fix-it-Tools. (ju)
