Eine Zero-Day-Lücke bei der Anzeige von LNK-Dateien in Windows wurde Ende August dieses Jahres bekannt. Microsoft plant bislang keine Korrektur und stuft sie anders als die Zero Day Initiative (ZDI) von Trend Micro nicht als hochriskant ein. Das IT-Sicherheitsunternehmen Arctic Wolf hat Angriffe gegen europäische Diplomaten unter Missbrauch dieser Schwachstelle beobachtet.
In einer Analyse von Arctic Wolf schreiben die IT-Forscher, dass die mit China in Verbindung stehende Cybergruppierung UNC6384 eine aktive Spionagekampagne gegen europäische Diplomaten und diplomatische Einrichtungen etwa in Belgien, Italien, den Niederlanden, Serbien und Ungarn sowie die weitere europäische diplomatische Gemeinschaft ausgeführt hat. Die Kampagne nutzt die LNK-Anzeigeschwachstelle in Windows aus und lief im September und Oktober dieses Jahres. Zudem setzen die Angreifer auf angepasstes Social Engineering.
Die Angriffskette fängt mit Spearphishing-E-Mails an, die eine URL enthalten, die die erste von mehreren Stufen darstellt. Am Ende münden die in der Auslieferung einer bösartigen LNK-Datei, die sich namentlich um Themen von Treffen der EU-Kommission, Workshops mit NATO-Bezug und multilateralen diplomatischen Koordinierungs-Events drehen.
"Diese Dateien nutzen die kürzlich bekannt gewordene Windows-Sicherheitslücke aus, um verschleierte PowerShell-Befehle auszuführen. Die entpacken und verteilen eine mehrstufige Malware-Kette, was schließlich zur Verteilung des PlugX-Remote-Access-Trojaners (RAT) durch DLL-Side-Loading legitimer, signierter Canon-Druckerassistenzprogramme führt", erklären die IT-Forscher von Arctic Wolf.
Die von Microsoft nicht als behebenswert eingestufte Schwachstelle wird also aktiv in Angriffen von Kriminellen missbraucht. Als Gegenmaßnahme steht daher kein Patch von Microsoft zur Verfügung. Arctic Wolf empfiehlt unter anderem, die Nutzung von .lnk-Dateien aus fragwürdigen Quellen zu blockieren und zu beschränken. Dazu sei die Deaktivierung der automatischen Auflösung im Windows Explorer geeignet. Das sollte auf allen Windows-Endpoints umgesetzt werden. Wie das am einfachsten gelingt, ob es etwa eine Gruppenrichtlinie dafür gibt, erörtert Arctic Wolf hingegen nicht konkreter.
Die IT-Forscher nennen noch einige Indizien für Infektionen (Indicators of Compromise, IOCs), nach denen Admins suchen können. Dazu gehören einige URLs der Command-and-Control-Infrastruktur. Außerdem könne die Suche nach Canon-Drucker-Assistent-Utilities, im Speziellen der Datei "cnmpaui.exe", an ungewöhnlichen Orten wie den AppData-Verzeichnissen der User Hinweise liefern.
Möglicherweise führt der Missbrauch der Schwachstelle im Internet dazu, dass Microsoft seine erste Einordnung korrigiert. Dann könnte das Unternehmen die Sicherheitslücke schließen und dem gegebenen Versprechen entsprechen, IT-Sicherheit als oberste Priorität zu setzen. Derzeit sieht das jedoch eher nach "Security-Theater" aus.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare