Andrea Danti - Fotolia

Windows Server: APT-Gruppen missbrauchen Hot-Patch-Funktion

APT-Angriffe nutzen die Hot-Patching-Funktion im Windows Server, um Systeme im laufenden Betrieb zu infizieren. Updates schaffen Abhilfe.

Die APT-Gruppe Platinum hat das Hot Patching Feature von Windows in ihren letzten Attacken gegen Organisationen in Süd- und Südost-Asien missbraucht. Die APT-Angreifer nutzen diese Funktion, um bösartigen Code in bestehende Prozesse einzuschleusen. Die Funktion selbst wurde in Windows Server 2003 von Microsoft eingeführt. Wie funktionieren diese Attacken und was kann man als Administrator tun, um die Angriffsfläche zu minimieren?

Gruppen, die sich auf Advanced Persistant Threats (APTs) spezialisiert haben sind dafür bekannt, dass Sie Zero-Day-Schwachstellen und integrierte Tools als Teil ihrer Angriffe ausnutzen. Eine dieser Funktionen ist die in Windows 2003 integrierte Hot-Patching-Funktion, wie sie etwa die Platinum-Gruppe für Angriffe ausnutzt.

Microsoft führte die Hot Patching Funktion als Teil einer Initiative ein, mit der die Ausfallzeit von Servern durch weniger Neustarts reduziert werden sollte. Hot Patching kann ausgeführte Dateien im Speicher mit gepatchtem Code aktualisieren und das Programm so umbiegen, dass der neue Code statt der veralteten Software genutzt wird. Hot Patching ist als Funktion in den meisten Linux- und Unix-Systemen enthalten, Microsoft zog mit Windows hier nach. Damit sollten Hochverfügbarkeit sichergestellt sein und die Notwendigkeit für Neustarts minimiert werden. Hot Patching benötigt einen administrativen Account, da direkt ins Betriebssystem eingegriffen wird. Die Platinum-Gruppe nutzt genau diese Funktionalität, um bösartigen Code in einen laufenden Server einzuschleusen und so ihre Spuren zu verwischen.

Windows-Server aktualisieren

Glücklicherweise kann die gleiche Funktion genutzt werden, um sich gegen solche Attacken abzuwehren. Zunächst sollten das Kernbetriebssystem sowie der administrative Zugriff geschützt werden. Bei Server-Systemen auf Basis von Windows 2012 und später wurde die Schwachstelle bislang nicht gemeldet, ein Upgrade auf diese aktuelle Version kann sich also lohnen. Standard-Abwehrmaßnahmen gegen APTs können zudem helfen, einen kompromittierten Server zu identifizieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Windows-Schwachstelle erlaubt Umgehung von Applocker-Regeln

System und Anwendungen gegen Attacken schützen

Windows Server: Mehr Sicherheit mit Gruppenrichtlinien

Die fünf wichtigsten Security-Verbesserungen von Windows Server 2016

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close