Microsoft schließt Zero-Day-Exploits, die im Government Spionage Kit verwendet werden
Microsoft hat bekannt gegeben, dass eine Reihe neuer Sicherheitspatches entwickelt wurden, um zu verhindern, dass zwei Zero-Day-Exploits als Teil eines Spionage-Kits an autoritäre Regierungen und Spionagebehörden weltweit verkauft werden.
Das Spionage-Kit, das angeblich vom israelischen Sicherheitsdienst Candiru verkauft wurde, wurde verwendet, um Politiker, Journalisten, Menschenrechtsaktivisten, Akademiker, Dissidenten und mehr mit mindestens 100 Opfern ins Visier zu nehmen. Während 100 im Vergleich zu anderen schwerwiegenden Sicherheitsverletzungen oder Angriffen ein vergleichsweise niedriger Wert ist, ist das Spionage-Kit ein hochentwickeltes Werkzeug, mit dem Einzelpersonen gezielt angegriffen werden können.
Daher sind die Opfer dieses Kits und der Zero-Day-Exploits wahrscheinlich hochkarätige Personen mit wertvollen Informationen zu potenziell seismischen Themen.
Microsoft arbeitet mit Citizen Lab zusammen, um Exploits auszuschalten
Der offizielle Microsoft-Sicherheitsblog bestätigt die Entdeckung eines "privaten Offensiven Akteurs" im Besitz von zwei Windows Zero-Day-Exploits ( CVE-2021-31979 und CVE-2021-33771 ).
Microsoft nannte den Bedrohungsakteur SOURGUM und stellte fest, dass das Microsoft-Sicherheitsteam glaubt, dass es sich um ein israelisches Unternehmen des privaten Sektors handelt, das Cybersicherheitstools an Regierungsbehörden weltweit verkauft. In Zusammenarbeit mit Citizen Lab, dem Labor für Netzwerküberwachung und Menschenrechte der Universität Toronto, glaubt Microsoft, dass das von SOURGUM verwendete Malware- und Exploit-Kit "mehr als 100 Opfer auf der ganzen Welt ins Visier genommen hat".
Der Bericht von Citizen Lab über die Exploits nennt Candiru ausdrücklich, "ein geheimes Unternehmen mit Sitz in Israel, das Spyware ausschließlich an Regierungen verkauft". Die von Candiru entwickelte Spyware "kann iPhones, Androids, Macs, PCs und Cloud-Konten infizieren und überwachen".
Das Microsoft-Sicherheitsteam beobachtete Opfer in Palästina, Israel, Iran, Libanon, Jemen, Spanien, Großbritannien, der Türkei, Armenien und Singapur, wobei viele Opfer in sensiblen Bereichen, Rollen oder Organisationen tätig waren. Zu den gemeldeten Candiru-Kunden gehören Usbekistan, Saudi-Arabien und die Vereinigten Arabischen Emirate, Singapur und Katar, mit weiteren gemeldeten Verkäufen in Europa, Ländern der ehemaligen Sowjetunion, dem Persischen Golf, Asien und Lateinamerika.
Sicherheitspatches eliminieren Zero-Day-Exploits
Ein Zero-Day-Exploit ist eine bisher unveröffentlichte Sicherheitslücke, die ein Angreifer nutzt, um eine Site, einen Dienst oder etwas anderes zu durchbrechen. Da sich die Sicherheits- und Technologieunternehmen seiner Existenz nicht bewusst sind, bleibt es ungepatcht und anfällig.
In diesem Fall hat das israelische Unternehmen, das angeblich hinter der Entwicklung des Spionage-Kits steckt, zwei Zero-Day-Exploits verwendet, um Zugang zu zuvor sicheren Produkten zu erhalten, die in einer einzigartigen Malware-Variante namens DevilsTongue eingebaut sind.
Obwohl Angriffe dieser Art besorgniserregend sind, handelt es sich oft um sehr gezielte Vorgänge, die normale Benutzer normalerweise nicht betreffen. Darüber hinaus hat Microsoft jetzt die Zero-Day-Exploits der Malware DevilsTongue gepatcht und diese spezielle Variante unbrauchbar gemacht. Die Patches wurden im Juli 2021 Patch Tuesday veröffentlicht, der am 6. Juli live gepusht wurde.