Alert!

Angreifer attackieren SicherheitslĂĽcken in Microsofts MSHTML und Whatsup Gold

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf Sicherheitslücken in Microsofts MSHTML und Whatsup Gold.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Stilisiertes Bild: Suche liefert Spam und Malware

Die Suche liefert Spam, Malware und BetrĂĽgereien zurĂĽck.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Cyberkriminelle greifen Sicherheitslücken in Progress Whatsup Gold und in Microsofts MSHTML an. Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA.

Vor zwei Wochen hat Progress aktualisierte Software bereitgestellt, die unter anderem kritische Sicherheitslücken in der Netzwerk-Monitoring-Software Whatsup Gold schließt. Durch einen SQL-Injection-Angriff können nicht authentifizierte Angreifer verschlüsselte Passwörter eines Nutzers erlangen (CVE-2024-6670, CVSS 9.8, Risiko "kritisch"). Eine weitere Lücke (CVE-2024-6671) hat identische Eckdaten, aber die CISA berichtet nun, dass Angriffe auf die erstgenannte Sicherheitslücke beobachtet wurden.

Zudem seien Angriffe auf eine MSHTML-Plattform-Spoofing-Lücke in Windows entdeckt worden. Microsoft hat den Eintrag zur Schwachstelle, die am September-Patchday mit einem Softwareflicken gestopft wurde, aktualisiert (CVE-2024-43461, CVSS 8.8, Risiko "hoch"). Die Lücke betrifft alle Windows-Versionen und zudem Internet-Explorer-Komponenten unter Windows Server 2008, 2008R2, 2012 sowie 2012 R2, wo die MSHTML-Komponente aus dem kumulativen IE-Updates die Fehlerkorrektur mitbringt. Diese Lücke wurde zusammen mit der Sicherheitslücke CVE-2024-38112 angegriffen, die eine gleichlautende Beschreibung trägt und im Juli mit einem Update zum Patchday versorgt wurde. Das hat die Angriffe bereits unterbunden, der volle Schutz sei jedoch nur durch beide Updates gewährleistet, erklärt Microsoft in dem CVE-Eintrag.

Wie die konkreten Angriffe aussehen und wie potenziell Betroffene sie erkennen können, erklären weder die CISA, noch die Hersteller. Zu der MSHTML-Lücke ist jedoch bekannt, dass die nordkoreanische Cybergang Void Banshee sie missbraucht hat, um Ziele in Europa, Südostasien und Nordamerika anzugreifen. Deren Ziel sei Informationsdiebstahl und finanzielle Bereicherung. Trend Micros Zero Day Initiative (ZDI) berichtet, dass die Kriminellen einen Infostealer namens Atlantida Stealer auf angegriffene Geräte installiert haben. Die Analyse zeigt zudem, wie die Angreifer durch MSHTML auf den Internet Explorer und die Lücken darin zugreifen konnten, obwohl der IE seit 2022 deaktiviert ist – aber eben nicht deinstalliert, sondern Komponenten für Renderprozesse innerhalb einer Sandbox des Edge-Browsers noch auf dem System liegen.

IT-Verantwortliche sollten zügig die bereitstehenden Updates herunterladen und installieren. Damit verkleinern sie die potenzielle Angriffsfläche für bösartige Akteure.

(dmk)