Wien, 15. Februar 2024 – Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, gibt die Entdeckung einer Sicherheitslücke in Microsoft Windows Defender bekannt. Diese wird aktiv von der cyberkriminellen Gruppierung Water Hydra ausgenutzt. Trend hat diese Schwachstelle am 31. Dezember 2023 entdeckt und Kunden seit dem 1. Januar 2024 automatisch davor geschützt. Unternehmen wird empfohlen, sofortige Maßnahmen zu ergreifen, um der anhaltenden Ausnutzung dieser Schwachstelle durch Cyberkriminelle zuvorzukommen.
Bei der Sicherheitslücke (CVE-2024-21412) handelt es sich um eine aktive Zero-Day-Schwachstelle, die von Trend Micros Zero Day Initiative (ZDI) an Microsoft gemeldet wurde. Trend Micro gibt virtuelle Patches im Schnitt 51 Tage vor ihrer eigentlichen Veröffentlichung heraus, einschließlich dieses Zero-Day-Patches für Microsoft. Bei allen anderen Anbietern betrug die durchschnittliche Zeit bis zum tatsächlichen Schutz ihrer Kunden 96 Tage. Laut Schätzungen des japanischen Cybersecurity-Spezialisten konnten Kunden, die alle virtuellen Patches im Jahr 2023 angewendet haben, durchschnittlich 1 Million Dollar für ihr Unternehmen einsparen.
Aktive Ausnutzung durch Water Hydra
Es besteht ein hohes Risiko, dass Schwachstellen von böswilligen Akteuren ausgenutzt werden, die es auf eine beliebige Anzahl an Branchen oder Unternehmen abgesehen haben. In diesem speziellen Fall wird die Schwachstelle von der finanziell motivierten APT-Gruppe Water Hydra ausgenutzt, um Devisenhändler zu kompromittieren, die an dem mit hohen Einsätzen verbundenen Devisenhandelsmarkt teilnehmen. Im Rahmen einer ausgefeilten Zero-Day-Angriffstaktik wird die Umgehung von Windows Defender SmartScreen angestrebt. Die Angriffe zielen darauf ab, Opfer mit dem DarkMe-Remote-Access-Trojaner (RAT) zu infizieren, um im Anschluss Daten zu stehlen und Ransomware zu verbreiten.
Virtual Patching
Die Intrusion Prevention System (IPS)-Funktionen von Trend nutzen mehrere Verteidigungsebenen, um fortschrittliche Bedrohungen zu entschärfen. Außerdem bieten sie virtuelles Patching, indem sie die Ausnutzung von CVE-2024-21412 vollständig blockieren. Trend Vision One identifiziert kritische Schwachstellen automatisch und bietet einen Überblick über alle betroffenen Endpunkte und deren mögliche Auswirkungen auf das Gesamtrisiko für ein Unternehmen. Der proaktive Risikomanagement-Ansatz von Trend reduziert damit den Bedarf an reaktiven Maßnahmen am „Tag der Offenlegung“ und stellt sicher, dass Kunden gut vorbereitet sind. Im Gegensatz dazu sind Unternehmen, die sich ausschließlich auf reaktive Ansätze verlassen, wie beispielsweise die Entdeckung existierender Angriffsspuren, eher einer Bedrohung ausgesetzt. Denn Täter arbeiten bewusst daran diese zu umgehen.
Bedeutung von Bug Bounty-Programmen
Die Leistung der ZDI, dem weltweit größten und herstellerunabhängigen Bug Bounty-Programm, hat bei der Suche nach Schwachstellen und dem daraus resultierenden Erkenntnisgewinn für die Weiterentwicklung von Patches an Bedeutung gewonnen. Grund dafür sind insbesondere zwei Faktoren:
- Die von cyberkriminellen Gruppen entdeckten Zero-Day-Schwachstellen werden zunehmend in Angriffsketten von nationalstaatlichen Gruppen wie APT28, APT29 und APT40 eingesetzt, wodurch sich deren Reichweite vergrößert.
- CVE-2024-21412 ist eine Umgehung von CVE-2023-36025, was verdeutlicht, wie einfach APT-Gruppen enge Hersteller-Patches identifizieren und umgehen können.
„Zero-Day-Schwachstellen sind ein immer beliebterer Weg für Bedrohungsakteure, ihre Ziele zu erreichen“, sagt Richard Werner, Business Consultant bei Trend Micro. „Deshalb investieren wir so stark in die Erforschung von Bedrohungsdaten: So können wir unsere Kunden schon Monate vor der Veröffentlichung offizieller Hersteller-Patches schützen. Wir sind stolz darauf, eine Welt mit weniger Cyberrisiken zu schaffen.“
Weitere Informationen erfahren Sie hier: https://www.youtube.com/watch?v=yY08S4-aICA
Weitere technische Informationen zu diesem Vorfall finden Sie unter: https://www.trendmicro.com/en_us/
Über Trend Micro
Bei Trend Micro ist es unser Ziel, die Welt für den Austausch digitaler Informationen sicherer zu machen. Wir sind davon überzeugt, dass Cyberrisiken gleichzeitig Geschäftsrisiken darstellen. Deshalb ermöglichen wir Unternehmen vollständige Transparenz und Kontrolle ihrer digitalen Assets. So verstehen sie, wie gut sie geschützt sind und welche Investitionen wichtig sind, um das Risiko zu senken.
Mit uns wird die Welt sicherer, da wir schon früh erkennen, wie sich moderne Infrastrukturen, Nutzerverhalten, Applikationsentwicklung und damit auch Cyberbedrohungen verändern und darauf reagieren. Wir unterstützen unsere Kunden bei der Transformation ihrer Cybersecurity von silobasierten Technologien zu einer einheitlichen Sicherheitsplattform.
So ermöglichen wir es ihnen, die Digitale Transformation, hybride Formen der Zusammenarbeit, die Modernisierung von Security Operations Centern, Anbieterkonsolidierung und eine Zero-Trust-Strategie voranzutreiben. Gleichzeitig integrieren wir uns in ihre bestehenden Infrastrukturen und Partner-Ökosysteme.
Als einer der weltweit führenden Anbieter von Cybersicherheit werden unsere Plattform, Threat Intelligence und Services von über 500.000 Unternehmen in 175 Ländern eingesetzt und von unabhängigen Prüfern und Analysten anerkannt.
Die deutsche Niederlassung von Trend Micro befindet sich in Garching bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.
Weitere Informationen zum Unternehmen und seinen Lösungen sind unter https://www.trendmicro.com/de_de/business.html verfügbar.