Informationen zu Sandworm (Microsoft Windows OLE Package Manager Remote Code Execution Vulnerability, CVE-2014-4114)

Dieser Artikel enthält Informationen zu einer Sicherheitslücke in Microsoft Windows, die Code per Remote-Zugriff ausführen kann.

iSIGHT veröffentlichte Informationen zu einer bisher unbekannten Sicherheitslücke in Microsoft Windows, die in einer geringen Anzahl von Angriffen seit dem 3. September 2014 ausgenutzt wurde.

Was ist Sandworm?

Die "Microsoft Windows OLE Package Manager Remote Code Execution Vulnerability" (CVE-2014-4114) ermöglicht Angreifern das Einbetten von OLE-Dateien (Object Linking and Embedding ) aus externen Speicherorten. Über diese Sicherheitslücke kann Malware auf einen Computer heruntergeladen und dort installiert werden. Sie wurden anscheinden von der Cyberspionage gruppe "Sandworm" ausgenutzt, um "Backdoor.Lancafdo.A" (auch Black Energy Backdoor" genannt) an Unternehmen zu senden. Weitere Informationen finden Sie in der Ankündigung von iSIGHT.

Funktionsweise von Sandworm

Die Sicherheitslücke betrifft alle Versionen von Windows: Windows Vista (Service Pack 2) bis Windows 8.1 sowie Windows Server 2008 und 2012. Sie beeinträchtigt die Art und Weise, mit der Object Linking and Embedding (OLE), eine Funktion von Microsoft, das Einbetten von Daten aus einem Dokument in einem anderen bzw. eines Links zu einem Dokument in einem anderen ermöglicht. OLE wird zwar im Allgemeinen zum Einbetten lokal gespeicherter Inhalte verwendet, aber diese Sicherheitslücke ermöglicht das unaufgeforderte Herunterladen und Ausführen von externen Dateien.

Bei bisherigen Angriffen wurde eine Phishing-E-Mail mit einem bösartigen PowerPoint-Anhang gesendet, der von Symantec als Trojan.Mdropper identifiziert wurde. Die PowerPoint-Datei enthält zwei eingegettete OLE-Dokumente mit URLs. Wird die PowerPoint-Datei geöffnet, werden diese URLs aufgerufen und zwei Dateien (eine .exe und eine .inf) werden herunterladen, die Malware auf dem Computer installieren. Symantec erkennt diese Malware als Backdoor.Lancafdo.A. Nachdem diese Backdoor auf dem Computer installiert ist, können Angreifer weitere Malware auf ihm installieren. Die Malware lädt eventuell auch Updates für sich selbst herunter, z. B. eine Komponente zum Stehlen von Informationen. Weitere Informationen finden Sie im Blog von Symantec Security Response.

Maßnahmen

  1. Microsoft hat einen Patch für diese Sicherheitslücke für alle betroffene Betriebssysteme veröffentlicht. Dieser Patch wird automatisch heruntergeladen und installiert, wenn Sie autmatische Updates von Microsoft konfiguriert haben. Sind automatische Updates nicht aktiviert, sollten Sie Windows Update so bald wie möglich manuell ausführen. Weitere Informationen zu diesem Sicherheits-Update finden Sie unter Microsoft Security Bulletin MS14-060.

  2. Alle Norton-Sicherheitsprodukte (z. B. Norton AntiVirus, Norton Internet Security, Norton 360, Norton Security und Norton Security mit Backup) enthalten mehrere Abwehrmaßnahmen gegen Sicherheitslücken wie Sandworm.

    Sie benötigen ein aktuelles Norton-Abonnement und die Virendefinitionen und Signaturen müssen auf dem neuesten Stand sein, damit dieser Schutz gewährleistet ist.

    Der Norton-Schutz wird anhand von Viren- und Angriffsschutzfunktionen in folgenden Signatur-Updates bereitgestellt:

    AntiVirus:

    Angriffsschutz

    • Angriff: Herunterladen bösartiger Dateien

Symantec ist nicht verantwortlich für die Zuverlässigkeit von Daten, Meinungsäußerungen, Ratschlägen oder Aussagen auf Websites Dritter. Symantec stellt die Links zu diesen Seiten lediglich als Hilfestellung für den Kunden zur Verfügung. Die Bereitstellung dieser Links bedeutet nicht, dass Symantec die Inhalte dieser Seiten unterstützt, empfiehlt oder Verantwortung für sie übernimmt.

Weitere Informationen

Weitere Lösungsmöglichkeiten finden Sie auf unserer Support-Seite zum Entfernen von Bedrohungen

Danke!

Vielen Dank, dass Sie den Norton-Support verwendet haben.

< Zurück

Haben Ihnen diese Informationen weitergeholfen?

DocID: v102743206_EndUserProfile_de_de
Betriebssystem: Windows 8, Windows 7, Windows Vista
Zuletzt bearbeitet: 14/10/2014