Exploitkit nutzte Windows-Lücke, um Sicherheits-Tools zu meiden
Am Microsoft-Patchday im März wurde auch eine zunächst eher unscheinbare Sicherheitslücke gestopft. Offenbar wurde diese dazu genutzt, möglichst nur Rechner mit einem Exploitkit zu infizieren, auf denen keine Sicherheits-Tools installiert waren.
(Bild: blog.trendmicro.com)
Im Rahmen des Mammut-Patchdays im März schloss Microsoft auch eine eher unscheinbare Sicherheitslücke in Windows. Die Schwachstelle mit dem Bezeichner CVE-2017-0022 erlaubt es einer bösartigen Web-Seite, zu testen, ob auf dem Rechner des Besuchers eine bestimmte Datei vorhanden ist. So etwas wird auch als "Information Disclosure Vulnerability" bezeichnet, was erstmal unspektakulär klingt.
Wie Trend Micro zeigt, nutzte etwa das Exploitkit Neutrino diese Lücke aber ganz gezielt, um auf die Anwesenheit bestimmter Security-Tools zu testen. Wird eines davon gefunden, erfolgt kein Infektionsversuch. Offenbar wollen die Kriminellen ihre Malware auf diesem Weg vor Aufdeckung schützen. Leider sagt Trend Micro nicht, welche Sicherheits-Anwendungen konkret auf dieser Liste stehen, nur dass es sich vermutlich um solche zur Malware-Analyse handle. (lmd)
