Zero-Click-Angriffskette für Windows und Firefox bestätigt
Ein Cyberangriff, der zwei Zero-Day-Sicherheitslücken miteinander verkettet, eine mit einem Schweregrad von 9,8 und die andere mit 8,8, wurde von Sicherheitsforschern als von einer bekannten russischen staatlich geförderten Bedrohungsgruppe namens RomCom stammend bestätigt. Der Cyberangriff nutzte diese bisher unbekannten Sicherheitslücken und nutzte sowohl den Webbrowser Mozilla Firefox als auch Windows selbst aus, um eine Hintertür zu installieren, die in der Lage ist, Befehle auszuführen und weitere Malware auf den Zielcomputer herunterzuladen. Folgendes wissen wir über den RomCom-Hackangriff auf Windows-Benutzer.
Der RomCom Zero-Click-Cyberangriff erklärt
Da sich potenzielle Opfer hauptsächlich in Europa und Nordamerika befinden, Sicherheitsforscher von ESET haben eine detaillierte Analyse veröffentlicht einer, wie sie es nannten, weit verbreiteten Kampagne. Um eine Vorstellung davon zu bekommen, wie groß das Ausmaß dieses Cyberangriffs war: Dabei wurden nicht nur eine, sondern gleich zwei Zero-Day-Schwachstellen ausgenutzt, die in einem leistungsstarken Exploit miteinander verkettet waren und letztendlich dazu führen konnten, dass auf Windows-Computern eine von russischen Hackern kontrollierte Hintertür installiert wurde.
Die Mozilla-Sicherheitslücke, CVE-2024-9680mit einem extrem hohen Risikoschweregrad für häufige Schwachstellen und Gefährdungen von 9,8 von 10, war ein „Use-after-free“-Speicherfehler in der Firefox-Animations-Timeline-Funktion. Mittlerweile ist der Windows Zero-Day, CVE-2024-49039bewertet mit 8,8 von 10, war ein Privileg-of-Escalation-Fehler, der es Schadcode ermöglichen konnte, außerhalb der Sicherheits-Sandbox des Mozilla Firefox-Browsers zu agieren. Die Verkettung dieser beiden in einem Zero-Click-Exploit kommt meiner Einschätzung nach einer Gefahrenbewertung von 10 von 10 nahe.
„Die Kompromittierungskette besteht aus einer gefälschten Website, die das potenzielle Opfer auf den Server umleitet, der den Exploit hostet, und sollte der Exploit erfolgreich sein, wird Shellcode ausgeführt, der die RomCom-Hintertür herunterlädt und ausführt“, Damien Schaeffer, der ESET-Forscher, der beide Schwachstellen entdeckt hat , sagte.
Um dem RomCom-Cyberangriff Einhalt zu gebieten, war schnelles Handeln erforderlich
Beide Schwachstellen wurden inzwischen von den jeweiligen Anbietern gepatcht, und Schaeffer dankte insbesondere dem Mozilla-Team „für seine große Reaktionsfähigkeit und die Hervorhebung seiner beeindruckenden Arbeitsmoral, einen Patch innerhalb eines Tages zu veröffentlichen.“ Der Sicherheitslücke in Firefox wurde am 9. Oktober behoben nach der Meldung am 8. Oktober.
Die Windows-Sicherheitslücke wurde inzwischen behoben Das Problem wurde im Rahmen der neuesten Sicherheitsübersicht zum Patch-Dienstag behoben am 12. November. Obwohl dies auf den ersten Blick eine besorgniserregende Verzögerung zu sein scheint, bedenken Sie, dass es sich um einen verketteten Cyber-Angriff handelte, der das Vorhandensein beider ungepatchter Schwachstellen erforderte, um erfolgreich ausgenutzt zu werden.
Dies ist jedoch nicht die Zeit, sich auf Ihren Lorbeeren auszuruhen und zu glauben, dass die Gefahr von Cyber-Angriffen vorüber ist, insbesondere wenn Sie Ihre Software- und Betriebssystem-Updates nicht im Griff haben, wie Mike Walters, Präsident und Mitbegründer von Action1, sagte. „Die von den RomCom-Angreifern eingesetzten Ausnutzungstechniken stellen erhebliche Risiken für andere Organisationen dar und weisen auf mehrere Schwachstellen und potenzielle Angriffsvektoren hin. Walters führte weiter aus, dass Organisationen, die veraltete Softwareversionen wie Firefox oder Windows verwenden, die nicht gepatcht wurden, bekannt sind.“ Schwachstellen seien „erheblich gefährdet“.
