Dyre-Arsenal um Exploits erweitert

Die Forscher von FireEye haben neue Varianten von Dyre/Dyreza entdeckt, die die Sicherheitslücke CVE-2015-0057 zur Erhöhung der Privilegien auf der Plattform Windows ausnutzt. Die Erweiterung der Funktionalität des Banktrojaners wurde erstmals am 17. Juni registriert, gut vier Monate nach der Veröffentlichung des entsprechenden Patches.

Diese Sicherheitslücke gehört zum Typ Use-after-free und sie war im Kerneltreiber win32k.sys präsent. Microsoft schloss CVE-2015-0057 im vergangenen Februar (KB3036220, Sicherheitsbulletin MS15-010). Nach Angaben von FireEye wurden bisher keine Exploits zu dieser Lücke beobachtet. Für den Fall, dass CVE-2015-0057 bereits gepatcht ist, verfügt der aktualisierte Trojaner Dyre über eine Ersatzvariante – CVE-2013-3660.

Ein Test hat gezeigt, dass Dyre nach der Installation zuerst sein Privilegien-Level überprüft. Wenn der Schädling mit Administratorenrechten ausgeführt wird, macht er sich an die Entschlüsselung seiner Ressourcendatei, daraufhin schreibt er die Binärdatei ins Dateisystem und führt sie aus.

Sind solche Rechte nicht vorhanden, sucht der Trojaner nach dem Update KB3036220, denn wenn es vorhanden ist, bedeutet das, dass CVE-2015-0057 geschlossen wurde. Wenn das so ist – und nur in diesem Fall – sucht Dyre nach der anderen Lücke, CVE-2013-3660. Findet er das entsprechende Update nicht (KB2850851), nutzt er sie zur Erhöhung der Privilegien. Nach einer Analyse beider Exploits kamen die Forscher zu dem Schluss, dass sie höchstwahrscheinlich von unterschiedlichen Autoren geschrieben wurden.

Laut Aussage von FireEye ist das von Dyre benutzte Exploit zur Sicherheitslücke CVE-2015-0057 für die angreifbaren Betriebssysteme Windows NT, Versionen 5.x (Windows XP/Windows 2000/Windows 2003) und für NT, Version 6.0 oder 6.1 (Windows Vista/Windows 7/Windows Server 2008) gefährlich. Gegen Windows 8.1 ist die neue Waffe des Bankers wirkungslos. Den Anwendern verwundbarer Versionen wird empfohlen, das Update KB3036220 angesichts des Auftauchens eines Exploits in freier Wildbahn umgehend zu installieren.

Quelle: FireEye

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.