US Cyber Command warnt vor Angriffen auf ältere Outlook-Lücke

Das US Cyber Command hat per Twitter darüber informiert, dass Cyberkriminelle eine Schwachstelle in Outlook ausnutzen, um Regierungsnetzwerke mit Malware anzugreifen. Die Anfälligkeit mit der Kennung CVE-2017-11774 wurde im Oktober 2017 gepatcht. Ihren Entdeckern zufolge kann ein Angreifer Schadcode einschleusen und außerhalb der Outlook-Sandbox ausführen.

Outlook (Grafik: Microsoft)Laut einer Analyse von Chronicle Security stehen die nun vom US Cyber Command auf Virustotal hochgeladenen Malware-Muster in einer Verbindung zu Aktivitäten der Shamoon-Malware, einem datenlöschen Hacking-Tool, dass der Hackergruppe APT33 zugeschrieben wird. Sie soll mit der Unterstützung der iranischen Regierung agieren.

Drei der insgesamt fünf Samples würden für die Manipulation von Webservern benutzt, teilte Brandon Levene, Sicherheitsforscher bei Chronicle Security, in einer E-Mail mit. Die anderen beiden seien in der Lage, über die Windows Power Shell den Random Access Trojaner Pupy Rat einzuschleusen.

Es ist allerdings nicht das erste Mal, dass die fragliche Outlook-Anfälligkeit das Ziel von Angriffen ist. Bereits Ende Dezember 2018 sollen Hacker von APT33 die Schwachstelle missbraucht haben, um Webserver mit einer Hintertür zu versehen. Von dort aus sollen den Exploit für CVE-201-11774 über legitime Exchange-Funktionen an die Posteingänge von Nutzern verteilt haben.

„Sobald die Angreifer über legitime Anmeldeinformationen verfügen, identifizieren sie öffentlich zugängliche Outlook Web Access (OWA) oder Office 365, die nicht durch eine mehrstufige Authentifizierung geschützt sind. Der Gegner nutzt die gestohlenen Anmeldeinformationen und ein Tool wie RULER, um Exploits über die legitimen Funktionen von Exchange bereitzustellen“, heißt es in einer Analyse von FireEye von Dezember 2018.

Das US Cyber Command ist nicht nur für Hackerangriffe anderer Staaten auf Behörden der USA zuständige. Es führt auch offensive Cyber-Operationen durch, zuletzt auf Raketensysteme des Iran. Levene zufolge ist es zudem das erste Mal, dass das Cyber Command per Twitter vor einer nicht aus Russland stammenden Malware gewarnt hat.