{"id":217081,"date":"2019-04-16T00:09:00","date_gmt":"2019-04-15T22:09:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217081"},"modified":"2022-05-11T06:22:54","modified_gmt":"2022-05-11T04:22:54","slug":"windows-schwachstelle-cve-2019-0859-wird-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/16\/windows-schwachstelle-cve-2019-0859-wird-ausgenutzt\/","title":{"rendered":"Windows Schwachstelle CVE-2019-0859 wird ausgenutzt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>[English]Im April 2019 wurde die Schwachstelle CVE-2019-0859 in Windows von Microsoft durch eine Sicherheitsupdate geschlossen. Sicherheitsforscher von Kaspersky haben bereits mehrfach Angriffe beobachtet, die diese Schwachstelle in Windows 7 bis 10 ausnutzen wollten. <\/p>\n<p><!--more--><\/p>\n<p>Das Thema ist mir von Kaspersky \u00fcber Twitter zugetragen worden. Nachfolgend habe ich ein paar Informationen aufbereitet. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"de\" dir=\"ltr\">Eine Schwachstelle in <a href=\"https:\/\/twitter.com\/hashtag\/Microsoft?src=hash&amp;ref_src=twsrc%5Etfw\">#Microsoft<\/a> Windows erm\u00f6glicht es Cyberkriminellen, vollst\u00e4ndigen Zugriff auf den infizierten Computer zu erlangen: <a href=\"https:\/\/t.co\/pc7gLpuXgi\">https:\/\/t.co\/pc7gLpuXgi<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Kaspersky?src=hash&amp;ref_src=twsrc%5Etfw\">#Kaspersky<\/a><\/p>\n<p>\u2014 Kaspersky Lab DACH (@Kaspersky_DACH) <a href=\"https:\/\/twitter.com\/Kaspersky_DACH\/status\/1117835048391184384?ref_src=twsrc%5Etfw\">15. April 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<h2>Schwachstelle CVE-2019-0859 in Windows<\/h2>\n<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg02.met.vgwort.de\/na\/1b4a66a3fb39480a9eb6ba325115f672\" width=\"1\" height=\"1\"\/>Die Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-0859\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2019-0859<\/a> steckt in <em>Win32k.sys<\/em> und erm\u00f6glicht Angreifern eine Rechteausweitung (Elevation of Privilege). Die Schwachstelle besteht in Windows, wenn die Win32k-Komponente Objekte im Speicher nicht ordnungsgem\u00e4\u00df verarbeitet. Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, k\u00f6nnte beliebigen Code im Kernelmodus ausf\u00fchren. Er k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n<p>Um diese Schwachstelle auszunutzen, muss sich ein Angreifer allerdings zun\u00e4chst am System anmelden. Dann k\u00f6nnte er eine speziell entwickelte Anwendung ausf\u00fchren, die die Schwachstelle ausnutzen und die Kontrolle \u00fcber ein betroffenes System \u00fcbernehmen k\u00f6nnte. Die Schwachstelle CVE-2019-0859 existiert zwar in allen Windows-Versionen, l\u00e4sst sich aber nicht remote ausnutzen. Allerdings k\u00f6nnte Malware, die als Download oder Mail-Anhang an Benutzer ausgeliefert wird, diese Schwachstelle ausnutzen. <\/p>\n<p>Microsoft hat im April 2019 die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-us\/vulnerability\/CVE-2019-0859\" target=\"_blank\" rel=\"noopener noreferrer\">hier dokumentiert<\/a> und in den noch unterst\u00fctzten Windows-Versionen durch ein Update gepatcht. Die KB-Nummern der betreffenden Updates sind im verlinkten Artikel aufgelistet. Das Problem ist lediglich, dass diese Updates in Verbindung mit diversen Sicherheitsprodukten von Avast, Avira und Sophos Installationsprobleme ausl\u00f6sen (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/04\/11\/windows-7-server-2008-r2-update-kb4493472-friert-systeme-ein\/\">Windows 7 und Server Update KB4493472 &amp; Co. frieren Systeme ein<\/a> und die Linkliste am Artikelende). So mancher Anwender und Administrator hat die Updates daher vorerst ausgeblendet. <\/p>\n<h2>Kaspersky entdeckt Exploit im M\u00e4rz 2019<\/h2>\n<p>In einem Tweet weisen die Sicherheitsspezialisten von Kaspersky darauf hin, dass die Schwachstelle CVE-2019-0859 in <em>win32k.sys<\/em> wohl aktiv angegriffen wird. <\/p>\n<p>Bereits im M\u00e4rz 2019 haben Sicherheitsforscher von Kaspersky mittels der in den Produkten eingesetzten proaktiven Sicherheitstechnologien einen Angriffsversuch per Exploit auf die <em>Win32k.sys<\/em> entdeckt. Die Analyse ergab die Zero-Day-Schwachstelle CVE-2019-0859 in win32k.sys. Kaspersky hat dann Microsoft informiert.<\/p>\n<p>Nachdem Microsoft diese Schwachstelle letzte Woche gepatcht hat, legt Kaspersky einige Informationen offen. Der Sicherheitsanbieter schreibt in <a href=\"https:\/\/www.kaspersky.de\/blog\/cve-2019-0859-detected\/19034\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Dokument<\/a>, dass es sich bei CVE-2019-0859 um eine Use-After-Free-Schwachstelle in der Systemfunktion, die verf\u00fcgbare Dialogfenster, genauer gesagt deren erg\u00e4nzende Stile, handhabt, handelt. Das bei Angriffsversuchen gefundene ITW-Exploit-Muster hatte laut Kaspersky alle 64-Bit-Betriebssystemversionen von Windows 7 bis zu den neuesten Builds von Windows 10 im Visier. <\/p>\n<p>Durch den Exploit der Schwachstelle kann die Malware ein von den Angreifern geschriebenes Skript herunterladen und ausf\u00fchren. Das kann im schlimmsten Fall dazu f\u00fchren, dass Angreifer die vollst\u00e4ndigen Kontrolle \u00fcber das infizierte Ger\u00e4t erhalten. Laut Kaspersky konnte eine bislang nicht identifizierte kriminelle APT-Gruppe unter Verwendung der Schwachstellte ausreichende Privilegien erlangen, um eine mit Windows PowerShell erstellte Backdoor zu installieren. <\/p>\n<p>Theoretisch sollte es den Cyberkriminellen auf diese Weise erm\u00f6glicht werden, unentdeckt zu bleiben, schreibt Kaspersky. \u00dcber die Backdoor wurde die Nutzlast heruntergeladen, mit deren Hilfe die Cyberkriminellen dann die vollst\u00e4ndige Kontrolle \u00fcber den infizierten Rechner erlangen konnten. F\u00fcr weitere Details zur Funktionsweise des Exploits, steht <a href=\"https:\/\/securelist.com\/new-win32k-zero-day-cve-2019-0859\/90435\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Bericht auf Securelist<\/a> zur Verf\u00fcgung.<\/p>\n<p>Kaspersky empfiehlt zum Schutz vor diesen Exploits die Installation der betreffenden Sicherheitsupdates sowie die Verwendung einer Sicherheitssoftware aus dem eigenen Hause (die erkennen den Exploit inzwischen). Die Installation der Sicherheitsupdates ist allerdings dann ein Problem, wenn sich diese wegen Problemen nicht installieren lassen. <\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/03\/microsoft-office-patchday-2-april-2019\/\">Microsoft Office Updates (Patchday 2. April 2019)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/10\/microsoft-security-update-summary-9-april-2019\/\">Microsoft Security Update Summary (9. April 2019)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/10\/patchday-updates-fr-windows-7-8-1-server-9-april-2019\/\">Patchday: Updates f\u00fcr Windows 7\/8.1\/Server (9. April2019)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/10\/patchday-windows-10-updates-9-april-2019\/\">Patchday Windows 10-Updates (9. April 2019)<\/a>  <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/11\/windows-7-server-2008-r2-update-kb4493472-friert-systeme-ein\/\">Windows 7 und Server Update KB4493472 &amp; Co. frieren Systeme ein<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/11\/windows-10-und-server-april-209-update-frieren-systeme-ein\/\">Windows 10 und Server: April 2019-Update frieren Systeme ein<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/12\/bremst-update-kb4493509-windows-10-v1809-aus\/\">Bremst Update KB4493509 Windows 10 V1809 aus?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/13\/0-day-schwachstelle-im-ie-11-ermglicht-dateien-zu-stehlen\/\">0-day-Schwachstelle im IE 11 erm\u00f6glicht Dateien zu stehlen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im April 2019 wurde die Schwachstelle CVE-2019-0859 in Windows von Microsoft durch eine Sicherheitsupdate geschlossen. Sicherheitsforscher von Kaspersky haben bereits mehrfach Angriffe beobachtet, die diese Schwachstelle in Windows 7 bis 10 ausnutzen wollten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694,2557],"tags":[4328,4325],"class_list":["post-217081","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","category-windows-server","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217081","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217081"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217081\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217081"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217081"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217081"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}