Das kalifornische Sicherheitsunternehmen FireEye hat kürzlich gezielte Angriffe entdeckt, die eine bislang nicht öffentlich bekannte Sicherheitslücke im .NET Framework nutzen. Dabei wird letztlich eine nur für staatliche Stellen verfügbare, kommerzielle Spionage-Software eingeschleust. FireEye hat Microsoft informiert und der Software-Hersteller hat beim Patch Day am 12. September Sicherheits-Updates für .NET bereit gestellt, um diese Schwachstelle (CVE-2017-8759) zu beseitigen. Wie die FireEye-Forscher im Blog des Unternehmens berichten, haben sie eine RTF-Datei (Rich Text Format) entdeckt, die offenbar an eine Russisch sprechende Zielperson gerichtet war. Wird die präparierte RTF-Datei in einer mit .NET interagierenden Anwendung (etwa in Word) geöffnet, kommt eine Schwachstelle im SOAP WSDL-Parser (Web Services Description Language) des .NET Framework zum Tragen. Sie ermöglicht es Code zu injizieren, während eine WSDL-Definition analysiert wird. Der Trick ist dabei ein Zeilenende/Zeilenvorschub (CR/LF) an der richtigen Stelle. Der injizierte Code lädt ein Visual Basic Script herunter, das PowerShell-Befehle enthält und führt es aus. Schließlich wird Malware heruntergeladen und eingeschleust, die FireEye als FinSpy identifiziert hat. Diese umstrittene Spionage- und Überwachungs-Software ist auch als „FinFisher“ oder „WingBird“ (Windows Defender) bekannt. Sie wird von der zur Gamma Group gehörenden Firma FinFisher GmbH in München entwickelt und offiziell nur an staatliche Stellen verkauft. Auch die deutsche Bundesregierung hat 2013 Lizenzen für diese Überwachungs-Software erworben, um sie nach Anpassungen als so genannten „Staatstrojaner“ einzusetzen. Basierend auf der offiziellen Vertriebspolitik des FinSpy-Herstellers gehen die FireEye-Forscher davon aus, dass hinter den beobachteten Angriffen eine Regierungsorganisation stecken könnte. Bereits im April dieses Jahres hatte FireEye ähnliche Attacken entdeckt, bei denen eine andere Sicherheitslücke (CVE-2017-0199) genutzt wurde, die Microsoft Office und WordPad betrifft. Auch dabei wurde die FinFisher-Malware eingeschleust. Microsoft ordnet die Angriffe einer Gruppe zu, die es „NEODYMIUM“ nennt und aus dem gleichen Grund wie FireEye als mutmaßlich staatsnah einstuft.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.