Alle Windows-Benutzer sollten sofort ein Update durchführen, da der „Complete Control“-Hack bestätigt wird

Vor ein paar Wochen Forscher der Cybersicherheitsfirma Eclypsium enthüllt dass fast alle großen Hardwarehersteller einen Fehler haben, der es böswilligen Anwendungen ermöglichen kann, Kernel-Privilegien auf Benutzerebene zu erlangen und dadurch direkten Zugriff auf Firmware und Hardware zu erhalten.

Die Forscher veröffentlichten eine Liste von BIOS-Anbietern und Hardwareherstellern, darunter Toshiba, ASUS, Huawei, Intel, Nvidia und mehr. Der Fehler betrifft auch alle neuen Versionen von Windows, einschließlich Windows 7, 8, 8.1 und Windows 10. Während Microsoft bereits eine Erklärung veröffentlicht hat, die bestätigt, dass Windows Defender mehr als in der Lage ist, das Problem zu lösen, haben sie nicht erwähnt, dass Benutzer dies benötigen auf der neuesten Version von Windows zu sein, um davon zu profitieren. Für ältere Versionen von Windows hat Microsoft darauf hingewiesen, dass es die HVCI-Funktion (Hypervisor-enforced Code Integrity) verwenden wird, um Treiber, die ihnen gemeldet werden, auf die schwarze Liste zu setzen. Leider ist diese Funktion nur auf Intel-Prozessoren der 7. Generation und später verfügbar; Bei älteren CPUs oder neueren, bei denen HCVI deaktiviert ist, müssen die Treiber daher manuell deinstalliert werden.

Als ob dies nicht genug schlechte Nachrichten wären, ist es Hackern nun gelungen, die Schwachstelle auszunutzen, um die Benutzer auszunutzen. Remote Access Trojan oder RAT gibt es schon seit Jahren, aber die jüngsten Entwicklungen haben ihn gefährlicher denn je gemacht. Die NanoCore RAT wurde früher im Dark Web für 25 $ verkauft, wurde aber bereits 2014 geknackt und die kostenlose Version wurde den Hackern zur Verfügung gestellt. Danach wurde das Tool ausgeklügelt, da neue Plugins hinzugefügt wurden. Jetzt haben Forscher von LMNTRX Labs einen neuen Zusatz entdeckt, der es Hackern ermöglicht, den Fehler auszunutzen, und das Tool ist jetzt kostenlos im Dark Web verfügbar.

Falls Sie das Tool unterschätzt haben, kann es einem Hacker ermöglichen, das System aus der Ferne herunterzufahren oder neu zu starten, Dateien aus der Ferne zu durchsuchen, auf den Task-Manager, den Registrierungseditor und sogar die Maus zuzugreifen und diese zu steuern. Nicht nur das, der Angreifer kann auch Webseiten öffnen, das Aktivitätslicht der Webcam deaktivieren, um das Opfer unbemerkt auszuspionieren und Audio und Video aufzunehmen. Da der Angreifer vollen Zugriff auf den Computer hat, kann er auch Passwörter wiederherstellen und Anmeldeinformationen mit einem Keylogger abrufen sowie den Computer mit einer benutzerdefinierten Verschlüsselung sperren, die wie Ransomware wirken kann.

Die gute Nachricht ist, dass es NanoCore RAT schon seit Jahren gibt, die Software ist den Sicherheitsforschern bestens bekannt. LMNTRX-Team ( Forbes) wurden Erkennungstechniken in drei Hauptkategorien unterteilt:

• T1064 – Skripterstellung: Da Scripting häufig von Systemadministratoren verwendet wird, um Routineaufgaben auszuführen, kann jede anomale Ausführung legitimer Scripting-Programme wie PowerShell oder Wscript auf verdächtiges Verhalten hinweisen. Die Überprüfung von Office-Dateien auf Makrocode kann auch dabei helfen, von Angreifern verwendetes Skripting zu identifizieren. Office-Prozesse wie winword.exe, die Instanzen von cmd.exe erzeugen, oder Skriptanwendungen wie wscript.exe und powershell.exe können auf böswillige Aktivitäten hinweisen.

• T1060 – Registry Run Keys / Startordner: Die Überwachung der Registrierung auf Änderungen an Ausführungsschlüsseln, die nicht mit bekannter Software oder Patchzyklen korrelieren, und die Überwachung des Startordners auf Hinzufügungen oder Änderungen können dabei helfen, Malware zu erkennen. Verdächtige Programme, die beim Start ausgeführt werden, können sich als Ausreißerprozesse zeigen, die im Vergleich zu historischen Daten noch nie zuvor gesehen wurden. Lösungen wie LMNTRIX Respond, das diese wichtigen Standorte überwacht und bei verdächtigen Änderungen oder Ergänzungen Warnmeldungen auslöst, können dabei helfen, diese Verhaltensweisen zu erkennen.

• T1193 – Spearphishing-Anhang: Network Intrusion Detection-Systeme wie LMNTRIX Detect können verwendet werden, um Spearphishing mit bösartigen Anhängen während der Übertragung zu erkennen. Im Fall von LMNTRIX Detect können eingebaute Detonationskammern bösartige Anhänge anhand des Verhaltens und nicht anhand von Signaturen erkennen. Dies ist von entscheidender Bedeutung, da die signaturbasierte Erkennung häufig keinen Schutz vor Angreifern bietet, die ihre Payloads häufig ändern und aktualisieren.

Insgesamt gelten diese Erkennungstechniken für Organisationen und Privatanwender. Das Beste, was Sie jetzt tun können, ist, jede Software zu aktualisieren, um sicherzustellen, dass sie auf der neuesten Version läuft. Dazu gehören Windows-Treiber, Software von Drittanbietern und sogar Windows-Updates. Am wichtigsten ist, dass Sie keine verdächtigen E-Mails herunterladen oder öffnen oder Software von Drittanbietern von einem unbekannten Anbieter installieren.