Eine neu entdeckte Angriffskette nutzt zwei Schwachstellen in Microsoft Windows und Office-Dokumenten, um unbemerkt Schadcode auszuführen. Die Schwachstellen, CVE-2023-36884 und CVE-2023-36584, ermöglichen einer pro-russischen APT-Gruppe namens Storm-0978 oder RomCom Group, entfernten Code auszuführen und Sicherheitsmaßnahmen zu umgehen.
CVE-2023-36884 ist eine schwerwiegende Remote Code Execution-Schwachstelle, CVE-2023-36584 hingegen ermöglicht es, bestehende Sicherheitsmaßnahmen zu umgehen, um die erstgenannte Schwachstelle auszunutzen. Die Gefährdungseinstufungen liegen bei 8,8 (Hoch) bzw. 5,4 (Mittel).
Der Angriff beginnt mit einer .docx-Datei, die eine externe RTF-Datei mit zwei schädlichen OLE-Objekten einbindet. Diese Objekte fordern Inhalte von spezifischen URLs an, wodurch die NTLM-Anmeldedaten des Opfers an einen vom Angreifer kontrollierten Server gesendet werden.
Die Angreifer nutzen dann die Windows-Suchfunktion, um Sicherheitslücken auszunutzen. Dabei setzen sie auf eine Technik namens „Server Side ZIP Swap“, die es ihnen ermöglicht, eine legitime ZIP-Datei durch eine manipulierte zu ersetzen, wodurch die Sicherheitsmarkierung „Mark of the Web“ (MotW) umgangen wird.
Weitere Ausnutzungstechniken umfassen „Server Side Delay“ in Verbindung mit SMB-Servern, um das Schreiben der MotW zu verzögern und damit den Schutz zu umgehen. Diese Vorgehensweise ermöglicht es Angreifern, sensible Informationen zu stehlen und weitere Schadsoftware auf dem Zielgerät zu platzieren.
Ein ausführlicher Bericht von Palo Alto liefert detaillierte Informationen über die Exploit-Techniken, Vorgehensweisen und weitere relevante Daten. Nutzer und Administratoren sollten aufmerksam sein und geeignete Gegenmaßnahmen ergreifen, um sich vor dieser und ähnlichen Bedrohungen zu schützen.
