Mindestens 11 staatlich geförderte Hackergruppen aus Nordkorea, Iran, Russland, und China nutzen aktiv ein neu entdecktes Windows Zero-Day-Schwachstelle bei Cyber-Spionage- und Datendiebstahl-Angriffen seit 2017. Trotz klarer Beweise für Ausbeutung, Microsoft hat es abgelehnt, ein Sicherheitsupdate zur Behebung des Problems zu veröffentlichen..
Microsoft lehnt Patch für ZDI-CAN-25373 ab
Sicherheitsforscher Peter Girnus und Aliakbar Zahravi von Trend Micros Zero Day Initiative (kurz ZDI) ergab, dass fast 1,000 Shell-Link (.lnk) Proben Ausnutzung dieser Schwachstelle, verfolgt als ZDI-CAN-25373, wurden identifiziert. Schätzungen zufolge ist die tatsächliche Zahl der Ausbeutungsversuche viel höher.
Die Forscher reichten eine konzeptioneller Beweiß (PoC) ausnutzen durch das Bug-Bounty-Programm von Trend Micro ZDI. Jedoch, Microsoft hat die Sicherheitslücke als “nicht die Messlatte für die Bedienung erfüllen” und lehnte es ab, es zu patchen.
Globale Spionage und Datendiebstahl im großen Stil
Bedrohungsakteure haben genutzt ZDI-CAN-25373 bei weit verbreiteten Cyberangriffen auf Nordamerika, Südamerika, Europa, Ostasien, und Australien. Die Mehrzahl dieser Angriffe, um 70%, wurden mit Spionage und Datendiebstahl in Verbindung gebracht, Finanzielle Motive machten etwa 20%.
Zu den Hackergruppen, die diese Schwachstelle ausnutzen, gehören bekannte staatlich geförderte Akteure wie Das Böse Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, und Konni. Diese APT-Cyberkriminelle haben verschiedene Malware-Payloads bereitgestellt, Inklusive Ursnif, Gh0st RAT, und Trickbot, Nutzung von Malware-as-a-Service Plattformen, um ihre Reichweite weiter auszubauen.
Wie funktioniert die Sicherheitsanfälligkeit??
Die Zero-Day-Sicherheitslücke in Windows wird verursacht durch eine Benutzer interface (UI) Falsche Darstellung kritischer Informationen Schwäche. Es nutzt die Art und Weise aus, wie Windows mit .lnk Verknüpfungsdateien, Angreifer können auf Zielgeräten beliebigen Code ausführen und dabei der Erkennung entgehen.
Angreifer manipulieren .lnk Dateien durch Einfügen versteckter Befehlszeilenargumente mit aufgefüllte Leerzeichen, die die Form von codierten Hex-Zeichen annehmen können, sowie:
\x20(Raum)\x09(Horizontale Registerkarte)\x0A(Zeilenvorschub)\x0B(Vertikale Registerkarte)\x0C(Formularvorschub)\x0D(Wagenrücklauf)
Diese versteckten Bereiche verhindern, dass Benutzer bösartige Argumente in der Windows-Benutzeroberfläche sehen, Angreifer können heimlich Befehle ausführen.
Microsoft hat noch keine CVE-ID zu dieser Schwachstelle, während Trend Micro es weiterhin verfolgt als ZDI-CAN-25373. Das Problem ist einer anderen Sicherheitslücke sehr ähnlich, CVE-2024-43461, das von der APT-Gruppe Void Banshee verwendet wurde, um Angriffe in ganz Nordamerika zu starten, Europa, und Südostasien. Microsoft hat CVE-2024-43461 im September gepatcht 2024 Patchday.
Trotz wachsender Bedenken von Sicherheitsforschern, Microsoft hat keine Hinweise darauf gegeben, dass ein Patch für ZDI-CAN-25373 wird freigegeben, Windows-Benutzer sind ständigen Cyberbedrohungen ausgesetzt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: