Microsoft hat diese Woche eine schwerwiegende Sicherheitslücke in Windows geschlossen, die es Angreifern ermöglichte, den SmartScreen-Sicherheitsmechanismus zu umgehen. Die als CVE-2024-38213 katalogisierte Schwachstelle wurde bereits seit März 2024 aktiv von Cyberkriminellen als Zero-Day-Exploit ausgenutzt.
SmartScreen-Schutz und Mark of the Web
SmartScreen ist eine seit Windows 8 integrierte Sicherheitsfunktion, die Benutzer vor potenziell schädlichen Inhalten schützen soll. Sie wird aktiviert, wenn ein Nutzer versucht, aus dem Internet heruntergeladene Dateien zu öffnen, die mit dem sogenannten „Mark of the Web“ (MotW) gekennzeichnet sind. Diese Markierung dient als Warnsignal für das Betriebssystem.
Details zur Sicherheitslücke CVE-2024-38213
Die nun behobene Schwachstelle ermöglichte es nicht authentifizierten Angreifern, Dateien zu erstellen, die die MotW-Warnungen umgehen. Für eine erfolgreiche Ausnutzung war jedoch eine Benutzerinteraktion erforderlich. Konkret musste ein Opfer dazu gebracht werden, eine präparierte Datei zu öffnen.
Entdeckung und Verzögerung bei der Offenlegung
Peter Girnus, ein Sicherheitsexperte von Trend Micro, entdeckte die Schwachstelle. Interessanterweise wurde der Fehler bereits im Juni 2024 von Microsoft behoben, jedoch versäumte das Unternehmen es, zeitnah ein entsprechendes Sicherheitsupdate zu veröffentlichen.
Verbindung zu früheren Angriffen
Die Schwachstelle steht in Zusammenhang mit früheren Angriffen der DarkGate-Malware-Kampagne. Diese nutzte eine ähnliche Sicherheitslücke (CVE-2024-21412) aus, um schädliche Nutzlasten zu verteilen, die als legitime Software-Installer getarnt waren.
Technische Details des Exploits
Der als „copy2pwn“ bezeichnete Exploit führte dazu, dass Dateien aus WebDAV-Speichern lokal kopiert wurden, ohne den MotW-Schutz zu erhalten. Dies ermöglichte es Angreifern, die SmartScreen-Warnungen zu umgehen und potenziell gefährliche Software unbemerkt auf Zielsystemen auszuführen.
Weitere Schwachstellen in Windows-Sicherheitsfunktionen
Sicherheitsexperten von Elastic Security Labs haben kürzlich eine weitere ähnliche Schwachstelle in Windows Smart App Control und SmartScreen entdeckt. Diese wird offenbar seit mindestens 2018 von Hackern ausgenutzt. Microsoft hat angekündigt, dieses Problem in einem zukünftigen Windows-Update zu beheben.
Die Häufung von Sicherheitslücken in Windows-Schutzmechanismen unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit und regelmäßiger Updates. Unternehmen und Privatanwender sollten sicherstellen, dass ihre Systeme stets auf dem neuesten Stand sind und zusätzliche Sicherheitsmaßnahmen wie Antivirensoftware und Firewalls implementieren. Die IT-Sicherheitsbranche muss weiterhin proaktiv nach Schwachstellen suchen und eng mit Softwareherstellern zusammenarbeiten, um potenzielle Bedrohungen frühzeitig zu erkennen und zu neutralisieren.