Aktuelle Windows-Sicherheitslücke: Exploit eignet sich für gezielte Angriffe

Trend Micro entdeckt Hintertürschädling im Rahmen einer Angriffsanalyse und empfiehlt fünf Schritte zum Säubern der infizierten Rechner

Tags: #sicherheitslücke #exploit #zero-day-exploit #trojaner #backdoor #datenklau #informationsdiebstahl #malware #schadsoftware #adobe #microsoft #windows #windowsxp #windowsserver2003 #gezielter-angriff #apt #trendmicro #news #nachrichten

Hallbergmoos, 3. Dezember 2013. Erst ein paar Tage ist die Sicherheitslücke in Windows XP und Windows Server 2003 bekannt – doch ein darauf abgestimmter Exploit macht wohl schon länger die Runde. Er wurde im Rahmen eines zielgerichteten Angriffs genutzt, wie Analysen von Trend Micro ergeben haben. Das Schadenspotenzial des Exploits ist hoch, sein Datenhunger ebenso. Seine gefährlichste Komponente ist ein Hintertürschädling, der sich jedoch von Systemadministratoren und sehr erfahrenen Windows-Nutzern in fünf Schritten aufspüren und beseitigen lässt.

Der Angriff beginnt mit einer bösartigen PDF-Datei, ein Trojaner, der eine im Mai dieses Jahres veröffentlichte Sicherheitslücke „CVE-2013-3346“ in Adobe ausnutzt. Einmal installiert, lädt der Trojaner einen Hintertürschädling auf das infizierte System. Dabei nutzt er eine erst vor kurzem bekannt gewordene Sicherheitslücke „CVE-2013-5065“ in den Windows-Versionen XP und Server 2003 aus.

Der Schädling erstellt einen Eintrag in der Systemregistrierung, der dafür sorgt, dass er bei jedem Systemstart ausgeführt wird. Außerdem schleust er bösartigen Code in die Prozesse für den Windows- und Internet Explorer sowie die Browser Chrome, Firefox und Opera ein. Bevor er mit seinen schädlichen Aktionen beginnt, prüft er, ob bestimmte Prozesse zur Netzwerküberwachung laufen. Ist dies der Fall, führt er seine Routinen nicht aus, um der Entdeckung zu entgehen.

Falls er sich unentdeckt glaubt, kann der Schädling verschiedene Aktionen wie das Herunterladen und Installieren von Programmen, das Löschen von Dateien und das Einrichten von Benutzerkonten mit Administratorrechten starten. Außerdem spioniert er auf dem infizierten System die unterschiedlichsten Informationen aus und sendet sie über einen Befehls- und Kontrollserver an die kriminellen Hintermänner im Web. Diese interessieren sich offenbar für Daten wie die Benutzerkonten und -namen, die Daten zum Rechner, der Festplatte und den verwendeten Ordnern, die installierten Windows-Updates, die laufenden Prozesse oder die IPv4-TCP-Verbindungstabellen.

„Aufgrund seiner Eigenschaften eignet sich der Exploit ideal für gezielte Angriffe auf Unternehmen. Dies umso mehr, als dort die älteren Windows-Versionen noch zahlreich vertreten sind und auf absehbare Zeit auch noch bleiben werden“, erklärt Udo Schneider, Sicherheitsexperte und Pressesprecher von Trend Micro. „Da es viele nachvollziehbare und gerechtfertigte Gründe gibt, mit einer Migration zu warten, sind die Unternehmen gut beraten, ihre Patchprozesse und -methoden zu überdenken. Insbesondere sollten sie die Möglichkeit des ‚virtuellen Patchens‘ oder besser Abschirmens von Sicherheitslücken in Betracht ziehen.“

Fünf Schritte, um den Schädling zu beseitigen
Windows-Administratoren und sehr erfahrene Nutzer können den beschriebenen Schädling in fünf Schritten aufspüren und entfernen:

  1. Um das System vollständig scannen zu können, muss die Funktion „Systemwiederherstellung“ deaktiviert werden.
  2. Anschließend sollte mittels einer geeigneten Sicherheitslösung der Trojaner TROJ_PIDIEF.GUD entfernt werden, der für das Herunterladen des Hintertürschädlings verantwortlich ist.
  3. Nun muss das System im abgesicherten Modus neu gestartet werden.
  4. Jetzt gilt es, folgenden Eintrag in der Systemregistrierung von Windows zu entfernen:
    • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Shell = "explorer.exe, {Malware Path and filename}.exe"
  5. Danach kann das System im normalen Modus neu gestartet werden. Nun lässt sich mit einer Sicherheitssoftware nach dem Hintertürschädling fahnden. Die Sicherheitslösungen von Trend Micro erkennen ihn als BKDR_TAVDIG.GUD und sorgen dafür, dass er entweder in die Quarantäne verschoben oder vom System gelöscht wird.
     

Diese Schritte sind lediglich eine unverbindliche Empfehlung von Trend Micro zum generellen Vorgehen, um infizierte Rechner von dem beschriebenen Trojaner und Hintertürschädling zu säubern. Trend Micro haftet für diese Empfehlung nicht. Diese Empfehlung ersetzt keine individuelle Analyse und individuelles Vorgehen zur Säuberung infizierter Rechner.

Weitere Informationen
Informationen zu der oben beschriebenen Bedrohung sind im deutschsprachigen Trend Micro-Blog erhältlich.