Zero-Day-Schwachstelle in SysAid-Software ermöglicht Datendiebstahl und Clop-Ransomware

In der Welt der IT-Sicherheit gibt es immer wieder neue Bedrohungen, denen Unternehmen ausgesetzt sind. Vor kurzem wurde eine Zero-Day-Schwachstelle in der Service-Management-Software SysAid entdeckt, die von Bedrohungsakteuren ausgenutzt wird, um Zugriff auf Unternehmensserver zu erlangen und dort Datendiebstahl zu betreiben. Als wäre das nicht schon schlimm genug, installieren die Angreifer auch noch die berüchtigte Clop-Ransomware.

SysAid ist eine umfassende IT-Service-Management-Lösung, die Unternehmen dabei unterstützt, ihre IT-Services effizient zu verwalten. Die Software bietet eine Vielzahl von Tools, die verschiedene Aspekte der IT-Infrastruktur abdecken. Leider haben die Hacker eine Schwachstelle in SysAid gefunden und nutzen sie nun für ihre bösartigen Zwecke.

Die Clop-Ransomware ist berüchtigt für ihre Fähigkeit, Zero-Day-Schwachstellen in weit verbreiteter Software auszunutzen. In der Vergangenheit haben wir bereits gesehen, wie sie ähnliche Schwachstellen in MOVEit Transfer, GoAnywhere MFT und Accellion FTA ausgenutzt hat.

Die Schwachstelle, die in diesem Fall ausgenutzt wurde, trägt die Bezeichnung CVE-2023-47246. Sie wurde am 2. November entdeckt, nachdem die Hacker sie bereits für ihre Zwecke genutzt hatten. Das Microsoft Threat Intelligence-Team war es, das das Sicherheitsproblem entdeckte und SysAid darüber informierte. Microsoft konnte auch feststellen, dass die Schwachstelle von einer Gruppe namens Lace Tempest (auch bekannt als Fin11 und TA505) ausgenutzt wurde, um die Clop-Ransomware zu installieren.

SysAid hat in einem Bericht bekannt gegeben, dass es sich bei CVE-2023-47246 um eine Pfadtraversierungs-Schwachstelle handelt, die es den Angreifern erlaubt, unbefugten Code auszuführen. Das Unternehmen hat auch technische Details des Angriffs veröffentlicht, die im Rahmen einer Untersuchung des Incident-Response-Unternehmens Profero ans Licht kamen.

Die Bedrohungsakteure haben die Zero-Day-Schwachstelle genutzt, um ein WAR (Web Application Resource)-Archiv mit einer Webshell in das Webroot des SysAid Tomcat Web Service hochzuladen. Dadurch konnten sie zusätzliche PowerShell-Skripte ausführen und die GraceWire-Malware laden. Diese Malware wurde in einen legitimen Prozess wie spoolsv.exe, msiexec.exe oder svchost.exe injiziert.

Um sicherzustellen, dass keine Sophos-Sicherheitsprodukte auf dem kompromittierten System vorhanden sind, überprüfte der Malware-Loader (user.exe) laufende Prozesse. Nachdem die Daten exfiltriert wurden, versuchten die Angreifer, ihre Spuren zu verwischen, indem sie ein weiteres PowerShell-Skript verwendeten, das Aktivitätsprotokolle löschte.

Microsoft stellte auch fest, dass Lace Tempest zusätzliche Skripte einsetzte, um auf den kompromittierten Hosts einen Cobalt Strike Listener abzurufen.

Glücklicherweise reagierte SysAid schnell auf die Schwachstelle und entwickelte einen Patch, der in einem Software-Update verfügbar ist. Alle Benutzer von SysAid werden dringend aufgefordert, auf Version 23.3.36 oder höher zu aktualisieren. Systemadministratoren sollten außerdem ihre Server auf Anzeichen einer Kompromittierung überprüfen.

SysAid hat in seinem Bericht auch Kompromittierungsindikatoren veröffentlicht, die dabei helfen können, den Angriff zu erkennen oder zu verhindern. Diese Indikatoren umfassen Dateinamen und Hashes, IP-Adressen, Dateipfade, die im Angriff verwendet wurden, sowie Befehle, die die Bedrohungsakteure zum Herunterladen von Malware oder zum Löschen von Beweisen für den initialen Zugriff verwendet haben.

Es ist wichtig, dass Unternehmen solche Bedrohungen ernst nehmen und ihre Systeme regelmäßig auf Schwachstellen überprüfen. Nur so können sie sicherstellen, dass sie immer einen Schritt voraus sind und ihre Daten vor Angreifern schützen können. In diesem Fall war es SysAid gelungen, schnell zu reagieren und einen Patch bereitzustellen. Hoffentlich können andere Unternehmen aus diesem Beispiel lernen und ähnliche Angriffe in Zukunft effektiv abwehren.

Schlagwörter: ZeroDaySchwachstelle + ClopRansomware + SysAidUpdate

Wie bewerten Sie den Schreibstil des Artikels?