Trend Micro
ZDI-CAN-25373: Windows Shortcut als Zero-Day-Exploit
Die Zero Day Initiative (ZDI) hat mit ZDI-CAN-25373 eine Windows .lnk-Dateischwachstelle identifiziert, die von APT-Gruppen missbraucht wird und die Ausführung versteckter Befehle mit dem Ziel der Spionage und Datendiebstahl ermöglicht.
ZDI-CAN-25373 Zusammenfassung
- Nahezu 1000 bösartige .lnk-Dateien missbrauchen ZDI-CAN-25373, eine Schwachstelle, durch die Angreifer versteckte bösartige Befehle auf dem Computer eines Opfers ausführen können, indem sie präparierte Shortcut-Dateien einsetzen.
- Die Angriffe nutzen versteckte Befehlszeilenargumente in .lnk-Dateien, um bösartige Payloads auszuführen. Für Unternehmen bedeutet dies erhebliche Risiken von Datendiebstahl und Cyberspionage.
- Die Schwachstelle wurde von staatlich unterstützten APT-Gruppen aus Nordkorea, dem Iran, Russland und China missbraucht. Betroffen sind Organisationen aus den Bereichen Regierung, Finanzen, Telekommunikation, Militär und Energie sind in Nordamerika, Europa, Asien, Südamerika und Australien.
- Unternehmen sollten ZDI-CAN-25373 sofort scannen und Sicherheitsmaßnahmen ergreifen, wachsam gegenüber verdächtigen .lnk-Dateien bleiben und sicherstellen, dass umfassende Maßnahmen zum Schutz von Endpunkten und Netzwerken vorhanden sind.
- Das Threat-Hunting-Team der Zero Day Initiative (ZDI) von Trend Micro hat in einer Vielzahl von Fällen der Ausnutzung in unterschiedlichen Kampagnen, die bis 2017 zurückreichen, festgestellt. Die Analyse ergab, dass elf staatlich unterstützte Gruppen aus Nordkorea, dem Iran, Russland und China ZDI-CAN-25373 in Operationen eingesetzt haben, die hauptsächlich auf Cyberspionage und Datendiebstahl abzielten.
- Trend entdeckten fast tausend Shell Link (.lnk)-Sample, die die Schwachstelle missbrauchten, doch ist die Gesamtzahl der Ausbeutungsversuche wahrscheinlich viel höher. Nach der Analyse reichte Trend Micro einen Proof-of-Concept-Exploit über das Bug-Bounty-Programm der ZDI bei Microsoft ein. Der Anbieter lehnte es ab, diese Schwachstelle mit einem Sicherheitspatch zu beheben.
Staatlich unterstützte APT-Gruppen nutzen die Schwachstelle
Im Laufe der Untersuchung fand der japanische Sicherheitsanbieter zahlreiche Bedrohungsakteure und APT-Gruppen, die ZDI-CAN-25373 missbrauchen. Es sind sowohl staatlich als auch nicht staatlich unterstützte APT-Gruppen. Viele wiesen ein hohes Maß an Raffinesse in ihren Angriffsketten auf und griffen nicht zum ersten Mal Zero-Day-Schwachstellen in freier Wildbahn an.
Fast die Hälfte der staatlich unterstützten Bedrohungsakteure, die ZDI-CAN-25373 und die damit verbundenen Intrusion-Sets ausnutzen, stammen Berichten zufolge aus Nordkorea. Bemerkenswert ist, dass eine deutliche Mehrheit der nordkoreanischen Intrusion-Sets zu verschiedenen Zeitpunkten auf die Schwachstelle zielte.
Dazu Peter Girnus, Senior Threat Researcher bei Trend Micro: „Die Bedrohung durch APTs, die staatlich unterstützt werden oder von hochprofessionellen Cyberkriminellen ausgehen, stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten dar, die von Regierungen, kritischen Infrastrukturen und privaten Organisationen weltweit verwaltet werden. Von den elf staatlich geförderten APT-Gruppen, die diese Schwachstelle missbrauchen, hat eine Mehrheit eine dokumentierte Vorgeschichte bezüglich von Zero-Days.“
„Angesichts der Eskalation geopolitischer Spannungen und Konflikte ist davon auszugehen, dass die Raffinesse der Bedrohungsakteure und die Nutzung von Zero-Day-Schwachstellen zunehmen werden, da sowohl Nationalstaaten als auch Cyberkriminelle versuchen, sich einen Wettbewerbsvorteil gegenüber ihren Gegnern zu verschaffen.“
