{"id":292582,"date":"2024-02-23T00:02:00","date_gmt":"2024-02-22T23:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292582"},"modified":"2024-02-28T07:44:24","modified_gmt":"2024-02-28T06:44:24","slug":"windows-schwachstelle-cve-2024-21412-angriffe-der-apt-gruppe-water-hydra","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/23\/windows-schwachstelle-cve-2024-21412-angriffe-der-apt-gruppe-water-hydra\/","title":{"rendered":"Windows Schwachstelle CVE-2024-21412: Angriffe der APT-Gruppe Water Hydra"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/02\/28\/windows-vulnerability-cve-2024-21412-attacks-by-the-apt-group-water-hydra\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Zum 13. Februar 2024 wurde die Internet Shortcut Files Security Feature Bypass-Schwachstelle CVE-2024-21412 bekannt. \u00dcber diese Schwachstelle l\u00e4sst sich der SmartScreen in Windows und anderen Produkten aushebeln. Microsoft hat mit den Sicherheitsupdates vom Februar 2024 entsprechende Patches f\u00fcr die unterst\u00fctzten Windows-Versionen bereitgestellt, um diese Schwachstelle zu beheben. Trend Micro berichtet nun, dass die APT-Gruppe Water Hydra diese Internet Shortcut Files Security Feature Bypass-Schwachstelle CVE-2024-21412 f\u00fcr Angriffe ausnutzt.<\/p>\n<p><!--more--><\/p>\n<h2>Die Schwachstelle CVE-2024-21412<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/0b5dd822f025443e909c416f42324801\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte die Schwachstelle bereits im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/13\/microsoft-security-update-summary-13-februar-2024\/\">Microsoft Security Update Summary (13. Februar 2024)<\/a> angesprochen. <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2024-21412\">CVE-2024-21412<\/a><\/u> ist eine <em>Internet Shortcut Files Security Feature Bypass<\/em>-Schwachstelle, die mit einem CVEv3 Score 8.1 als important (wichtig) eingestuft wurde. Die Schwachstelle erm\u00f6glicht die Umgehung der Sicherheitsfunktion (des SmartScreen-Filters) in Internet-Verkn\u00fcpfungsdateien.<\/p>\n<p>Um diese Schwachstelle auszunutzen, muss ein Angreifer die Zielperson (z.B. mithilfe von Social Engineering) davon \u00fcberzeugen, eine b\u00f6sartige Internet-Verkn\u00fcpfungsdatei, die darauf ausgelegt ist, die angezeigten Sicherheitspr\u00fcfungen zu umgehen, zu \u00f6ffnen. Der Nutzer muss also aktiv einen Dateilink anklicken, damit der Angriff funktioniert. Microsoft hat keine Details zur Schwachstelle offen gelegt, aber Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle zum 13. Februar 2024 ver\u00f6ffentlicht:<\/p>\n<ul>\n<li>Update <a href=\"https:\/\/support.microsoft.com\/help\/5034768\" target=\"_blank\" rel=\"noopener\">KB5034768<\/a>: Windows 10 Enterprise 2019 LTSC \/Windows Server 2019<\/li>\n<li>Update <a href=\"https:\/\/support.microsoft.com\/help\/5034763\" target=\"_blank\" rel=\"noopener\">KB5034763<\/a>: Windows 10 Version 21H1 \u2013 22H2<\/li>\n<li>Update <a href=\"https:\/\/support.microsoft.com\/help\/5034769\" target=\"_blank\" rel=\"noopener\">KB5034769<\/a>: Windows Server Version 23H2<\/li>\n<li>Update <a href=\"https:\/\/support.microsoft.com\/help\/5034770\" target=\"_blank\" rel=\"noopener\">KB5034770<\/a>: Windows Server 2022<\/li>\n<li>Update <a href=\"https:\/\/support.microsoft.com\/help\/5034765\" target=\"_blank\" rel=\"noopener\">KB5034765<\/a>: Windows 11 23H2-22H2<\/li>\n<li>Update <a href=\"https:\/\/support.microsoft.com\/help\/5034766\" target=\"_blank\" rel=\"noopener\">KB5034766<\/a>: Windows 11 21H2<\/li>\n<\/ul>\n<p>Nach Installation der Sicherheitsupdates sollte die Schwachstelle CVE-2024-21412 beseitigt sein. Die L\u00fccke umgeht den \"SmartScreen\", ein Sicherheitsfeature aller neueren Windows-Installationen, welches von Microsoft erstmalig mit Windows 8 eingef\u00fchrt wurde. Dieses Feature f\u00fchrte unter anderem ein \"Mark of the Web (MotW)\"-Flag ein, um eine vom Internet heruntergeladene Datei als potentiell gef\u00e4hrlichen Download zu kennzeichnen. Die Datei wird dann per SmartScreen vor der Verarbeitung gepr\u00fcft.<\/p>\n<h2>Water Hydra zielt auf CVE-2024-21412<\/h2>\n<p>Trend Micro merkt in einer Information an, dass die Schwachstelle CVE-2024-21412 bereits von einigen Bedrohungsakteuren aktiv ausgenutzt wird. Es ist davon auszugehen, dass in drei bis vier Wochen) alle namhaften Cyberangreifer versuchen, diese Schwachstellen mit gro\u00dfer Wahrscheinlichkeit auszunutzen.<\/p>\n<p>Es sieht so aus, als ob die APT-Gruppe Water Hydra die Schwachstelle als 0-day bereits ausgenutzt hat. Die APT-Gruppe Water Hydra ist auch als DarkCasino bekannt. Sie erhielt erstmals 2021 durch eine Reihe von Kampagnen Aufmerksamkeit, die auf den Finanzsektor abzielten. Es wurde Social Engineering in Finanzhandelsforen eingesetzt, um Opfer zu k\u00f6dern. Der Bedrohungsakteur ver\u00fcbte gezielte Angriffe auf Banken, Kryptow\u00e4hrungsplattformen, Devisen- und Aktienhandelsplattformen sowie Gl\u00fccksspielseiten in aller Welt.<\/p>\n<p>Bei der Ausnutzung der L\u00fccke handelt es sich um einen echten 0-day, d.h. eine Schwachstelle, die zuerst von Angreifern gefunden wurde und f\u00fcr die es bis zum Patch Tuesday keinen Schutz seitens des Herstellers gab. Sie betrifft alle Microsoft Windows Produkte, die dieses Feature nutzen. Einem Nutzer wird vorgegaukelt, er w\u00fcrde ein Bild aufrufen. Um keinen Argwohn zu wecken, wird tats\u00e4chlich auch eines angezeigt. Im Hintergrund erfolgt jedoch der Download b\u00f6sartigen Codes, mit dem der Rechner des Opfers infiziert wird. Trend Micro teilte die Beobachtung dem \"Responsible Disclosure\" Codex entsprechend dem Hersteller mit, der daraufhin den im Februar 2024 freigegebenen Patch entwickelte.<\/p>\n<p>Im Rahmen der laufenden Bedrohungsjagd entdeckte Trend Micro, dass eine zweite Gruppe die Schwachstelle ausnutzt. Dies zeigt, dass es in vielen F\u00e4llen schwierig sein kann, festzustellen, wie weit verbreitet eine Zero-Day-Schwachstelle von Bedrohungsakteuren genutzt wird, da sie dem Anbieter und der breiten \u00d6ffentlichkeit unbekannt ist. Trend Micro hat den Blog-Beitrag <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/b\/cve-2024-21412-facts-and-fixes.html\" target=\"_blank\" rel=\"noopener\">SmartScreen Vulnerability: CVE-2024-21412 Facts and Fixes<\/a> zu diesem Thema mit weiteren Details ver\u00f6ffentlicht. Ein Beitrag zu den Water Hydra-Angriffen findet sich im Blog-Beitrag <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/b\/cve202421412-water-hydra-targets-traders-with-windows-defender-s.html\" target=\"_blank\" rel=\"noopener\">CVE-2024-21412: Water Hydra Targets Traders With Microsoft Defender SmartScreen Zero-Day<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/13\/microsoft-security-update-summary-13-februar-2024\/\">Microsoft Security Update Summary (13. Februar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/14\/patchday-windows-10-updates-13-februar-2024\/\">Patchday: Windows 10-Updates (13. Februar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/14\/patchday-windows-11-server-2022-updates-13-februar-2024\/\">Patchday: Windows 11\/Server 2022-Updates (13. Februar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/02\/14\/patchday-windows-11-server-2022-updates-13-februar-2024\/\">Windows 7\/Server 2008 R2; Server 2012 R2: Updates (13. Februar 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zum 13. Februar 2024 wurde die Internet Shortcut Files Security Feature Bypass-Schwachstelle CVE-2024-21412 bekannt. \u00dcber diese Schwachstelle l\u00e4sst sich der SmartScreen in Windows und anderen Produkten aushebeln. Microsoft hat mit den Sicherheitsupdates vom Februar 2024 entsprechende Patches f\u00fcr die unterst\u00fctzten &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/23\/windows-schwachstelle-cve-2024-21412-angriffe-der-apt-gruppe-water-hydra\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-292582","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292582","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292582"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292582\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292582"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292582"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292582"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}