{"id":236193,"date":"2020-10-02T00:10:00","date_gmt":"2020-10-01T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236193"},"modified":"2022-02-21T08:18:16","modified_gmt":"2022-02-21T07:18:16","slug":"internet-explorer-schwachstelle-cve-2020-0968-wird-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/02\/internet-explorer-schwachstelle-cve-2020-0968-wird-angegriffen\/","title":{"rendered":"Internet Explorer-Schwachstelle CVE-2020-0968 wird angegriffen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/11\/IE.jpg\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=16170\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kurze Information f\u00fcr Leute, die noch den Internet Explorer im Einsatz haben (betrifft vor allem Firmen-Administratoren). Es ist eine Schadsoftware aufgetaucht, die die Internet Explorer-Schwachstelle CVE-2020-0968 ausnutzt. Von Microsoft gibt es seit April 2020 einen Patch daf\u00fcr.<\/p>\n<p><!--more--><\/p>\n<h2>Internet Explorer-Schwachstelle CVE-2020-0968<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/e3bc63887bd94b2682e746fa5d0ea7e2\" alt=\"\" width=\"1\" height=\"1\" \/>Bei der Schwachstelle <a href=\"https:\/\/web.archive.org\/web\/20201102000049\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0968\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0968<\/a> handelt es sich um einen Scripting Engine Memory Corruption-Sicherheitsl\u00fccke im Internet Explorer. Eine Sicherheitsl\u00fccke bei der Remotecodeausf\u00fchrung h\u00e4ngt mit der Art und Weise zusammen, wie die Skripting-Engine Objekte im Speicher des Internet Explorer behandelt. Die Schwachstelle k\u00f6nnte den Speicher so besch\u00e4digen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausf\u00fchren k\u00f6nnte.<\/p>\n<p>Ein Angreifer, der die Sicherheitsanf\u00e4lligkeit erfolgreich ausnutzt, k\u00f6nnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, k\u00f6nnte ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, die Kontrolle \u00fcber ein betroffenes System \u00fcbernehmen. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n<p>In einem webbasierten Angriffsszenario k\u00f6nnte ein Angreifer eine speziell gestaltete Website hosten, die die Sicherheitsanf\u00e4lligkeit im Internet Explorer ausnutzt. Ruft ein Benutzer die Website auf, k\u00f6nnte der Angreifer auch ein als \"sicher f\u00fcr die Initialisierung\" gekennzeichnetes ActiveX-Steuerelement in eine Anwendung oder ein Microsoft Office-Dokument einbetten, das die IE-Rendering-Engine hostet.<\/p>\n<p>Microsoft hat zum 14.4.2020 aber Sicherheitsupdates freigegeben, die diese Schwachstelle in der Skripting-Engine beheben. Diese wurden mit kumulativen <a href=\"https:\/\/web.archive.org\/web\/20201102000049\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0968\" target=\"_blank\" rel=\"noopener noreferrer\">Sicherheitsupdates und Rollups f\u00fcr Windows<\/a> sowie mit dem Internet Explorer-Update <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4550905\/cumulative-security-update-for-internet-explorer\" target=\"_blank\" rel=\"noopener noreferrer\">KB4550905<\/a> geschlossen.<\/p>\n<h2>Malware-Sample gefunden<\/h2>\n<p>Auf Twitter ist mir die Nacht <a href=\"https:\/\/twitter.com\/ClearskySec\/status\/1311291935685070848\" target=\"_blank\" rel=\"noopener noreferrer\">die Information<\/a> unter die Augen gekommen, dass aus Wei\u00dfrussland ein Malware-Beispiel auf VirusTotal hochgeladen wurde, welches einen Exploit f\u00fcr die Internet Explorer-Schwachstelle CVE-2020-0968 herunterl\u00e4dt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/ClearskySec\/status\/1311291935685070848\" target=\"_blank\" rel=\"noopener noreferrer\"><img decoding=\"async\" title=\"Malware f\u00fcr Internet Explorer-Schwachstelle CVE-2020-0968 \" src=\"https:\/\/i.imgur.com\/rrVo96o.jpg\" alt=\"Malware f\u00fcr Internet Explorer-Schwachstelle CVE-2020-0968 \" \/><\/a><\/p>\n<p>ClearSky Research ist die in einer RTF-Datei eingebettete Malware am 20. September 2020 unter die Augen gekommen. Die erste Datei wurde aus Wei\u00dfrussland (Belarus) VirusTotal hochgeladen. In diesem Land finden ja aktuell Demonstrationen gegen den Machthaber Lukaschenko statt. Der Dateiname und der Inhalt der Word-Datei enth\u00e4lt Formulare, die \u00fcber Personen ausgef\u00fcllt werden sollen, die vor dem Obersten Gerichtshof wegen Verbrechen angeklagt sind.<\/p>\n<p>Die RTF-Datei f\u00fchrt einen willk\u00fcrlichen Code von einem C2-Server aus. Die Codeausf\u00fchrung k\u00f6nnte f\u00fcr weitere Malware-Downloads, Datendiebstahl und eine Vielzahl b\u00f6sartiger Aktivit\u00e4ten genutzt werden. Im analysierten Fall l\u00e4dt die RTF-Datei einen Exploit f\u00fcr den Internet Explorer herunter, der die Schwachstelle CVE-2020-0968 ausnutzt. Laut den Sicherheitsforschern wurde die Schwachstelle bisher noch nicht in freier Wildbahn ausgenutzt.<\/p>\n<p>Anschlie\u00dfend l\u00e4dt die Internet Explorer-Schwachstelle die Nutzlast herunter, die Datei ist jedoch verschl\u00fcsselt und muss entschl\u00fcsselt werden, um ausgef\u00fchrt werden zu k\u00f6nnen. Als die Sicherheitsforscher ihre Analyse zusammen schrieben, haben sie festgestellt, dass es bereits eine detaillierte Analyse, die in chinesischer Sprache verfasst wurde, gibt, die diesen Angriff \"Operation Domino\" nennt. Details sind <a href=\"https:\/\/docs.google.com\/document\/d\/1oYX3uN6KxIX_StzTH0s0yFNNoHDnV8VgmVqU5WoeErc\/edit#\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> abrufbar.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Information f\u00fcr Leute, die noch den Internet Explorer im Einsatz haben (betrifft vor allem Firmen-Administratoren). Es ist eine Schadsoftware aufgetaucht, die die Internet Explorer-Schwachstelle CVE-2020-0968 ausnutzt. Von Microsoft gibt es seit April 2020 einen Patch daf\u00fcr.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4295,4328],"class_list":["post-236193","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-internet-explorer","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236193"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236193\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}