Im zweiten Quartal 2022 stieg die Anzahl der Exploits für Schwachstellen in der Microsoft-Office-Suite, sie machten 82 Prozent der Exploits auf verschiedenen Plattformen und Software wie Adobe Flash, Android oder Java aus.
Dabei waren im vergangenen Quartal fast 547.000 Nutzer von entsprechenden Schwachstellen in alten Anwendungsversionen betroffen. Des Weiteren ist die Zahl der Nutzer, die von der Schwachstelle Microsoft MSHTML Remote Code Execution – die zuvor bei zielgerichteten Angriffen entdeckt wurde – betroffen sind, um das Achtfache gestiegen. Diese Ergebnisse gehen aus dem aktuellen Malware-Report von Kaspersky hervor.
Nicht-gepatchte Schwachstellen können von Cyberkriminellen für Angriffe verwendet werden. So zeigen Kaspersky-Analysen, dass Exploits für die Schwachstelle CVE-2021-40444 verwendet wurden, um im zweiten Quartal 2022 fast 5.000 Nutzer anzugreifen – achtmal mehr als im ersten Quartal dieses Jahres. Diese Zero-Day-Schwachstelle in der MSHTML-Engine des Internet Explorer wurde erstmals im September 2021 gemeldet. Bei der Engine handelt es sich um eine Systemkomponente, die von Microsoft-Office-Anwendungen zur Verarbeitung von Web-Inhalten verwendet wird. Mit der Schwachstelle ist es Angreifern möglich, schädlichen Code auf den Computern der Betroffenen remote auszuführen.
Laut Kaspersky-Telemetriedaten wurde CVE-2021-40444 zuvor bei Angriffen auf Organisationen in den Bereichen Forschung und Entwicklung, Energie und Industrie, Finanz- und Medizintechnik sowie Telekommunikation und IT ausgenutzt.
„Da die Schwachstelle recht einfach ausgenutzt werden kann, erwarten wir eine Zunahme entsprechender Angriffe“, prognostiziert Alexander Kolesnikov, Malware-Analyst bei Kaspersky. „Cyberkriminelle erstellen schädliche Dokumente und bringen ihre Opfer mittels Social-Engineering-Techniken dazu, diese zu öffnen. Die Microsoft-Office-Anwendung lädt dann ein schädliches Skript herunter und führt es aus. Um sich zu schützen, sollten der Patch des Anbieters installiert und Sicherheitslösungen verwendet werden, die die Ausnutzung von Sicherheitslücken erkennen. Unternehmen sollten zudem ihre Mitarbeiter auf aktuelle Cyberbedrohungen aufmerksam machen.“
Ältere Versionen der Microsoft-Office-Suite sind eine Einladung für Angreifer
Des Weiteren nutzen Cyberkriminelle auch alte Schwachstellen für ihre Zwecke. Die beiden Schwachstellen CVE-2018-0802 und CVE-2017-11882 sind bereits seit einigen Jahren bekannt. Dennoch betrafen Angriffe über diese beiden Schwachstellen den Großteil der angegriffenen Nutzer im zweiten Quartal. Gegenüber dem ersten Quartal verzeichneten diese einen leichten Anstieg. Sie wurden verwendet, um mehr fast 487.000 Nutzer über ältere Versionen von Microsoft-Office-Suite-Programmen anzugreifen. Durch Ausnutzung dieser Schwachstellen verteilten Angreifer schädliche Dokumente, um den Speicher der Formel-Editor-Komponente zu beschädigen, und führten auf dem Computer des Opfers schädlichen Code aus.
Darüber hinaus stieg die Zahl der von CVE-2017-0199 betroffenen Nutzer um 59 Prozent auf über 60.000 an. Bei erfolgreicher Ausnutzung dieser Schwachstelle können Angreifer den Computer eines Opfers kontrollieren und Daten ohne dessen Wissen anzeigen, ändern oder sogar löschen.
Nutzer in der DACH-Region vermehrt von CVE-2021-40444 betroffen
Während die Ausnutzung der älteren Schwachstellen CVE-2017-0199, CVE-2017-11882 CVE-2018-0802 im Vergleich zum ersten Quartal abnahm, nutzten Angreifer im zweiten Quartal verstärkt die Schwachstelle CVE-2021-40444 aus. In Deutschland und der Schweiz wurden Zunahmen von 84 beziehungsweise 89 Prozent verzeichnet. In Österreich stieg die Anzahl betroffener Nutzer von null auf 15.
Empfehlungen zum Schutz vor der Ausnutzung von Schwachstellen
- Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen, inklusive der von Angreifern verwendeten TTPs, haben.
- Eine Sicherheitslösung verwenden, die eine Komponente für Schwachstellen-Management-bietet.
- Lösungen implementieren, die Angriffe in einem frühen Stadium erkennen und blockieren, bevor die Angreifer ihre Ziele erreichen können.
www.kaspersky.de