Dipl.-Inform. Carsten Eilers

Die Schwachstelle mit der CVE-ID CVE-2014-6352 wurde von Microsoft am 21. Oktober in einem Security Advisory beschrieben, betroffen sind alle unterstützten Windows-Versionen mit Ausnahme von Windows Server 2003.

Die Schwachstelle befindet sich in OLE und wird über präparierte Microsoft-Office-Dateien ausgenutzt, aktuell handelt es sich dabei um PowerPoint-Dateien.

Bei den bisher beobachteten Angriffen erfolgt eine Rückfrage der User Account Control (UAC), bevor der Exploit ausgeführt wird.

Microsoft hat einen Hotfix veröffentlicht, mit dem ein Workaround installiert werden kann. Der Fix funktioniert aber nur mit PowerPoint (mit Ausnahme der 64-Bit-Versionen für das x64-basierte Windows 8 und 8.1). Der Workaround schützt also nur vor dem aktuell bekannten Exploit, er ist wirkungslos, sobald die Angreifer andere Office-Formate verwenden oder einen anderen Weg zum Ausnutzen der Schwachstelle finden. Zusätzlichen Schutz bietet die Installation (sofern noch nicht geschehen) und Konfiguration des EMET.

Gemeldet wurde die Schwachstelle von Drew Hintz, Shane Huntley und Matty Pellegrino vom Google Security Team sowie Haifei Li und Bing Sun vom McAfee Security Team. Und von McAfee gibt es auch weitere Informationen zu den Angriffen. Oder nein, nicht zu den Angriffen, nur zur Schwachstelle:

21.10.: McAfee hat "nur" einen Proof of Concept entwickelt

McAfee hat die am Patchday behobene "Sandworm"-Schwachstelle CVE-2014-4114 in OLE genauer untersucht und dabei festgestellt, dass der Patch die Schwachstelle nicht gut genug behebt. Die Schwachstelle kann mit einem entsprechend angepassten Exploit trotz installiertem Patch aus dem Security Bulletin MS14-060 ausgenutzt werden. Am 17. Oktober konnte McAfee einen Proof-of-Concept dafür entwickeln, der sofort an Microsoft gemeldet wurde.

McAfee schreibt wohlgemerkt nichts über Angriffe auf die verbliebene Schwachstelle, während Microsoft von vereinzelten Angriffen ("limited, targeted attacks") berichtet. Ganz im Gegenteil: McAfee schreibt nur von Angriffen auf die gepatchte Original-Schwachstelle und "potential new attacks in the wild" über die neue.

Trotzdem rät man, außer dem FixIt-Tool auch den ersten und zweiten Workaround aus dem Security Bulletin MS14-060 umzusetzen und den WebClient Service auszuschalten und die TCP-Ports 139 und 445 in der Firewall zu blockieren. Beides soll laut McAfee Angriffe über die neue Angriffsmethode verhindern.

Das McAfee nicht von Angriffen berichtet, sondern nur von einem selbst entwickelten PoC, ist leider kein Grund zur Entwarnung, denn:

22.10.: Trend Micro findet die neuen Angriffe (und erkennt sie nicht)

Am 22. Oktober hat Trend Micro über Angriffe auf die "Sandworm"-Schwachstelle berichtet, die durch das Einbetten des Schadcodes in die Datei die Erkennung durch Intrusion Prevention Systemen vermeiden. Das klingt doch ganz so, als hätte man einen Exploit für die neue Schwachstelle analysiert. Und es nicht bemerkt. Sowas kann natürlich vorkommen.

22.10.: Auch Symantec hat Angriffe auf die neue Schwachstelle beobachtet

Symantec hat ebenfalls am 22. Oktober berichtet, das die "Sandworm"-Schwachstelle von mindestens zwei Gruppen ausgenutzt wird, die einen Exploit einsetzen, der den Patch umgeht. Dabei handelt es sich wohl um die von Microsoft gemeldeten Angriffe. Angriffe von gleich zwei Gruppen - das klingt nicht gerade nach besonders vereinzelten Angriffen.

Timestamps in der Schadsoftware deuten darauf hin, dass die Angriffe auf die neue Schwachstelle schon vor der Veröffentlichung der Patches am 14. Oktober vorbereitet wurden, evtl. auch schon begannen:

• Die Payload hat einen Timestamp vom 10. September,
• das PowerPoint-Dokument wurde zuletzt am 12. September geändert.
• Command&Control-Aktivitäten der Payload wurden am 24. September beobachtet.

Da Symantec aber das Datum der "Auslieferung" der Schadsoftware nicht bekannt ist könnte auch die Uhr des Rechners der Angreifer falsch gehen. Was natürlich nicht erklärt, wieso am 24.9 C&C-Aktivitäten der Payload beobachtet wurden. Oder gehen Symantecs Uhren genau so falsch wie die der Angreifer?

Symantec hat auch die Unterschiede der Schwachstellen beschrieben: Bei der ursprünglichen "Sandworm"-Schwachstelle ist die in die Office-Dateien eingebettete OLE-Datei mit externen Dateien mit dem Schadcode verlinkt. Bei der neuen Schwachstelle ist der Schadcode Bestandteil der in die Office-Dateien eingebetteten OLE-Datei.

Wie wäre es mit zwei Angriffsvektoren, aber nur einer Schwachstelle?

Für mich legt das die Vermutung nahe, dass das eine Schwachstelle ("Ausführen von Code über OLE") mit zwei Angriffsvektoren ("Code wird verlinkt" und "Code wird eingebettet") ist.

Das "Sandworm Team" hat die Schwachstelle über verlinkten Code ausgenutzt, und diesen Angriffsvektor (und nicht die Schwachstelle an sich) hat Microsoft am Patchday behoben. Dadurch funktioniert der andere Angriffsvektor mit dem eingebetteten Code noch, und der wird bereits seit einiger Zeit von den anderen Gruppen ausgenutzt. Die umgehen also gar nicht den Patch, sondern nutzen schon immer ihren eigenen Weg zur Schwachstelle. Denn wie kann ein Exploit einen Patch umgehen, den es bei seiner Entwicklung noch gar nicht gab?

Soviel zur neuen Schwachstelle. Es gibt aber auch Neues zum "Sandworm Team" zu berichten, dass die am Patchday behobene OLE-Schwachstelle ausnutzt:

Das "Sandworm Team" hat es auf SCADA-Systeme abgesehen

Wie schon am Montag berichtet hat Trend Micro festgestellt, dass sich die Angriffe des "Sandworm Team" (auch?) gegen "SCADA-centric victims" richtet, die die Client-Server-basierte Visualisierungs- und Steuerungslösung CIMPLICITY HMI von GE Intelligent Platforms verwenden. Das "Sandworm Team" setzt die von CIMPLICITY verwendeten .cim- und .bcl-Dateien als Angriffsvektoren ein und legt Dateien in der CIMPLICITY-Installation unter der Environment-Variablen %CIMPATH% ab. Was auch bedeutet, dass der Angriff fehl schlägt, wenn CIMPLICITY nicht vorhanden ist. Trend Micro konnte aber noch nicht alle Komponenten des Angriffs analysieren, da einige der dafür verwendeten Dateien noch nicht gefunden wurden. Daher ist nicht bekannt, auf was es die Angreifer genau abgesehen haben. Zumindest bisher gibt es keine Manipulationen der Industriesteuerungen.

Die CIMPLICITY-Installation könnte auch gar nicht das eigentliche Ziel des Angriffs sein, sondern nur als Unterscheidungskriterium dienen, um gezielt die Systeme bestimmter Unternehmen zu kompromittieren. Von den kompromittiertenCIMPLICITY-Installationen aus könnten die Angreifer dann weiter ins lokale Netz der Unternehmen zu den Servern vordringen, die sie tatsächlich interessieren.

Inzwischen hat man bei iSIGHT Partners, wo man die Angriffe des "Sandworm Team" über die 0-Day-Schwachstelle zuerst entdeckt hat, die Angriffe weiter analysiert und eine Datei entdeckt, die auf Angriffe auf WinCC, Siemens HMI und SCADA-Software hin weist: Die Datei CCProjectMgrStubEx.dll ähnelt der Datei CCProjectMgr.exe, einer Programmdatei von WinCC. Und das ist die Software, die von Stuxnet angegriffen wurde.

Auch iSIGHT Partners hat bisher keine Hinweise auf Manipulationen der Industriesteuerungen gefunden. Da das "Sandworm Team" bei allen anderen Opfern Informationen ausspäht dürfte das auch hier der Fall sein. Was ja nicht ausschließt, dass die Industriesteuerungen in einem zweiten Schritt manipuliert werden, nachdem die dafür nötigen Informationen ausgespäht wurden.

Carsten Eilers