Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

SmartScreen mit Zero-Day-Schwachstelle

- Warnmeldung

Für Windows SmartScreen ist ein Proof-of-Concept-Exploit (PoC) für eine Zero-Day-Schwachstelle verfügbar. Microsoft hat dafür zwar in seinem November-Patch ein Sicherheitsupdate veröffentlicht, aber der Fehler war bereits als Zero-Day ausgenutzt worden. Über die Schwachstelle können Angreifende bösartigen Code an den SmartScreen-Prüfungen von Windows Defender vorbeischleusen, ohne eine Warnung auszulösen.
Unscharfe Warnlichter in unterschiedlichen Farben und Größen auf dunklem Hintergrund

© CSBW

Vorgehensweise

Das PoC beschreibt, wie ein Angreifer eine legitim aussehende, aber bösartige URL-Datei generieren und über eine Phishing-E-Mail verbreiten kann. Die Schwachstelle wird bereits ausgenutzt, u. a. von TA544, einem finanziell motivierten APT-Akteur (Advanced Persistent Threat).

Zur Ausnutzung der Schwachstelle muss ein Angreifer einen Benutzer dazu bringen, auf eine entsprechend präparierte Internet-Verbindung (URL) zu klicken oder auf einen Link, der auf eine solche Datei verweist.

Bewertung

Laut Microsoft kann ein System aus dem Internet über CVE-2023-36025 leicht infiltriert werden. Zudem reichen geringe Rechte aus, um den Fehler auszunutzen. Daher ist er als wenig komplex eingestuft. Da zur Schwachstelle schon ein PoC existiert, sollen potenziell Betroffene dringend handeln.

Die Sicherheitslücke ist in Windows 10, Windows 11, Windows Server 2008 und späteren Versionen vorhanden.

Empfehlungen

Neben den unten aufgeführten allgemeinen Handlungsempfehlungen zu Phishing-Angriffen sollen grundsätzlich keine unseriösen oder potenziell bösartigen Dateien heruntergeladen oder ausgeführt werden. Ebenso soll der Sicherheitspatch von Microsoft dringend installiert werden.

Allgemeine Handlungsempfehlungen zu Phishing-Angriffen:

  • Sensibilisieren Sie Ihre Mitarbeiter für die Gefahr, die von Phishing-Mails ausgeht.
  • Insbesondere sollte man nicht auf Anhänge oder Links klicken, die verdächtig erscheinen oder von einem unbekannten Absender kommen. Dies gilt vor allem dann, wenn der Absender um Geld oder persönliche Informationen bittet.
  • Bevor Sie auf einen Link klicken, positionieren Sie den Mauszeiger auf der sensitiven Linkfläche und warten Sie kurz, ohne zu klicken. Das sogenannte Mouseover zeigt das Linkziel an und dieses kann so besser beurteilt werden.
  • Wenn Sie eine entsprechende Mail erhalten haben, löschen Sie diese Mail.
  • Wenn Sie auf einen bösartigen Link geklickt haben, informieren Sie umgehend die zuständige Stelle (z. B. ISB/CISO). Sie entscheidet über weitere Maßnahmen.

Hintergrund zu SmartScreen

Der SmartScreen-Filter von Microsoft ist eine Sicherheitsfunktion, die in Windows und Microsoft Edge integriert ist. Der Filter dient zum Schutz vor potenziell schädlichen Websites, Downloads und Anwendungen.

Eckdaten zur Schwachstelle

CVE-Nummer: CVE-2023-36025

CVSS-Base-Score: 8.8 (hoch)

Weitere Informationen