Exploits für Schwachstellen
Microsoft-Office-Anwendungen in Q2 2022: Nutzer vermehrt über nicht-gepatchte Schwachstellen angegriffen
Mehr als eine halbe Million Menschen weltweit angegriffen - In Deutschland und der Schweiz stieg Anzahl angegriffener Nutzer um über 80 Prozent; in Österreich stieg die Anzahl betroffener Nutzer von null auf 15
Im zweiten Quartal 2022 stieg die Anzahl der Exploits für Schwachstellen in der Microsoft-Office-Suite, sie machten 82 Prozent der Exploits auf verschiedenen Plattformen und Software wie Adobe Flash, Android oder Java aus. Dabei waren im vergangenen Quartal fast 547.000 Nutzer von entsprechenden Schwachstellen in alten Anwendungsversionen betroffen. Des Weiteren ist die Zahl der Nutzer, die von der Schwachstelle Microsoft MSHTML Remote Code Execution – die zuvor bei zielgerichteten Angriffen entdeckt wurde – betroffen sind, um das Achtfache gestiegen. Diese Ergebnisse gehen aus dem aktuellen Malware-Report von Kaspersky hervor.
Nicht-gepatchte Schwachstellen können von Cyberkriminellen für Angriffe verwendet werden. So zeigen Kaspersky-Analysen, dass Exploits für die Schwachstelle CVE-2021-40444 verwendet wurden, um im zweiten Quartal 2022 fast 5.000 Nutzer anzugreifen – achtmal mehr als im ersten Quartal dieses Jahres. Diese Zero-Day-Schwachstelle in der MSHTML-Engine des Internet Explorer wurde erstmals im September 2021 gemeldet.
Bei der Engine handelt es sich um eine Systemkomponente, die von Microsoft-Office-Anwendungen zur Verarbeitung von Web-Inhalten verwendet wird. Mit der Schwachstelle ist es Angreifern möglich, schädlichen Code auf den Computern der Betroffenen remote auszuführen.
Laut Kaspersky-Telemetriedaten wurde CVE-2021-40444 zuvor bei Angriffen auf Organisationen in den Bereichen Forschung und Entwicklung, Energie und Industrie, Finanz- und Medizintechnik sowie Telekommunikation und IT ausgenutzt.
"Da die Schwachstelle recht einfach ausgenutzt werden kann, erwarten wir eine Zunahme entsprechender Angriffe", prognostiziert Alexander Kolesnikov, Malware-Analyst bei Kaspersky. "Cyberkriminelle erstellen schädliche Dokumente und bringen ihre Opfer mittels Social-Engineering-Techniken dazu, diese zu öffnen. Die Microsoft-Office-Anwendung lädt dann ein schädliches Skript herunter und führt es aus. Um sich zu schützen, sollten der Patch des Anbieters installiert und Sicherheitslösungen verwendet werden, die die Ausnutzung von Sicherheitslücken erkennen. Unternehmen sollten zudem ihre Mitarbeiter auf aktuelle Cyberbedrohungen aufmerksam machen."
Ältere Versionen der Microsoft-Office-Suite sind eine Einladung für Angreifer
Des Weiteren nutzen Cyberkriminelle auch alte Schwachstellen für ihre Zwecke. Die beiden Schwachstellen CVE-2018-0802 und CVE-2017-11882 sind bereits seit einigen Jahren bekannt. Dennoch betrafen Angriffe über diese beiden Schwachstellen den Großteil der angegriffenen Nutzer im zweiten Quartal. Gegenüber dem ersten Quartal verzeichneten diese einen leichten Anstieg. Sie wurden verwendet, um mehr fast 487.000 Nutzer über ältere Versionen von Microsoft-Office-Suite-Programmen anzugreifen. Durch Ausnutzung dieser Schwachstellen verteilten Angreifer schädliche Dokumente, um den Speicher der Formel-Editor-Komponente zu beschädigen, und führten auf dem Computer des Opfers schädlichen Code aus.
Darüber hinaus stieg die Zahl der von CVE-2017-0199 [5] betroffenen Nutzer um 59 Prozent auf über 60.000 an. Bei erfolgreicher Ausnutzung dieser Schwachstelle können Angreifer den Computer eines Opfers kontrollieren und Daten ohne dessen Wissen anzeigen, ändern oder sogar löschen.
Nutzer in der DACH-Region vermehrt von CVE-2021-40444 betroffen
Während die Ausnutzung der älteren Schwachstellen CVE-2017-0199, CVE-2017-11882 CVE-2018-0802 im Vergleich zum ersten Quartal abnahm, nutzten Angreifer im zweiten Quartal verstärkt die Schwachstelle CVE-2021-40444 aus. In Deutschland und der Schweiz wurden Zunahmen von 84 beziehungsweise 89 Prozent verzeichnet. In Österreich stieg die Anzahl betroffener Nutzer von null auf 15. (Kaspersky Lab: ra)
eingetragen: 22.08.22
Newsletterlauf: 25.10.22
Kaspersky Lab: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Meldungen: Statistiken
Der Anteil reaktionsbasierter E-Mail-Angriffe auf die Mailboxen von Unternehmen hat im zweiten Quartal dieses Jahres mit 41 Prozent aller E-Mail-Angriffe den höchsten Stand seit 2020 erreicht. Das geht aus dem aktuellen vierteljährlichen Quarterly Threat Trends & Intelligence Report von Agari und PhishLabs hervor, die Teil des HelpSystems Cybersecurity-Portfolios sind.
Im Zeitraum von April bis Juni analysierten Agari und PhishLabs Hunderttausende von Phishing- und Social-Media-Angriffen, die auf Unternehmen, deren Marken und Mitarbeiter fokussiert waren. Anhand der Auswertung dieser Angriffe zeigt der Report die wichtigsten Trends der Bedrohungslage auf.
Bei einer reaktionsbasierten Bedrohung reagieren Opfer über einen ausgewählten Kommunikationskanal auf Methoden wie Phishing (über E-Mail), Vishing/Smishing (über einen Anruf oder eine SMS) und Advance Fee Scams (Vorschussbetrug), bei dem Opfer vorab eine Zahlung leisten, um eine größere Geldsumme zu erhalten – auch bekannt als 419- oder nigerianischer Betrug.
Advance Fee Scams (Vorschussbetrug) dominieren regelmäßig die Kategorie reaktionsbasierter Angriffe und sind 2022 gegenüber dem Vorjahr um insgesamt 3,4 Prozent gestiegen. Im zweiten Quartal 2022 machten sie einen Anteil von 54,2 Prozent aller E-Mail-Bedrohungen aus. Die Kompromittierung von Geschäftsmails (Business Email Compromise, BEC) hat im zweiten Quartal ebenfalls zugenommen und hatte einen Anteil von 16,3 Prozent am gesamten Angriffsvolumen. Während der Anteil anderer reaktionsbasierter Bedrohungen im Vergleich zum ersten Quartal zurückgegangen ist, haben hybride Vishing-Angriffe an Volumen zugenommen und erreichten im zweiten Quartal einen Sechs-Quartals-Höchststand: 625 Prozent mehr Angriffe als im ersten Quartal 2021.
Weitere wichtige Erkenntnisse
●>> Phishing nimmt kontinuierlich zu. Die Angriffe sind im zweiten um fast 6 Prozent gegenüber dem ersten Quartal 2022 gestiegen.
● >> Im zweiten Quartal nahmen die Social-Media-Angriffe im Vergleich zum ersten Quartal um 20,3 Prozent zu und erreichten im Durchschnitt fast 95 Angriffe pro Unternehmen und Monat. In den letzten 12 Monaten hat die Zahl der Angriffe um mehr als 100 Prozent zugenommen, da die sozialen Netzwerke sich am besten eignen, um eine große Gruppe an potentiellen Opfern zu erreichen.
● >> Im zweiten Quartal kehrt Emotet offiziell wieder an die Spitze zurück, nachdem er um 30,7 Prozent zulegte und damit fast die Hälfte aller Malware-Angriffe repräsentierte. Bemerkenswert ist, dass der Neueinsteiger Bumblebee auf den dritten Platz gesprungen ist. Es wird vermutet, dass er mit den früher führenden Schadprogrammen Trickbot und BazaLoader verwandt ist.
● >> Zugangsdaten-Angriffe auf Office 365-Konten erreichten im zweiten Quartal den höchsten Stand seit sechs Quartalen in Bezug auf Anteil und Volumen: Mehr als 58 Prozent aller Phishing-Links waren Angriffe auf O365-Anmeldedaten, was einem Anstieg von 17,7 Prozent in diesem Jahr entspricht.
"Die Anzahl an reaktionsbasierten Angriffen ist seit Q1 2021 in jedem Quartal gestiegen, abgesehen von einem geringfügigen Rückgang in Q1 2022", sagte John Wilson, Senior Fellow Threat Research bei HelpSystems. "Reaktionsbasierte Angriffe haben immer noch einen beträchtlichen Anteil am Phishing-Volumen, was unterstreicht, dass Kriminelle mit Social-Engineering-Taktiken weiterhin sehr erfolgreich operieren. Wir haben festgestellt, dass die 419-, Vishing- und BEC-Köder immer wieder angepasst werden. Dies zeigt, dass die meisten Angreifer nicht versuchen, das Rad neu zu erfinden, sondern vielmehr auf neue Varianten der gleichen Social-Engineering-Bedrohungen setzen, die sich in der Vergangenheit als erfolgreich erwiesen haben.
Auch wenn die meisten gemeldeten E-Mails in der Regel nicht schädlich sind, ist die proaktive Identifizierung und das Melden verdächtiger E-Mails wichtig, um Unternehmen vor Anmeldedaten-Diebstahl, reaktionsbasierten und Malware-Angriffen zu schützen. In Zukunft müssen die Sicherheitsteams den Angriffen entgegenwirken, indem sie in kanalübergreifende Überwachung und Partnerschaften mit Technologieanbietern investieren, um Missbrauch vorzubeugen", fasst Wilson zusammen. (HelpSystems: ra)
eingetragen: 19.08.22
Newsletterlauf: 19.10.22