Russische Hacker nutzten jahrelang berüchtigte Windows-Lücke aus

23.04.2024

Über die "PrintNightmare" getaufte Schwachstelle erlangten Angreifer*innen relativ einfach Zugriff auf Computer.

Microsoft hat eine Windows-Schwachstelle geschlossen, durch die PCs jahrelang angreifbar waren. Die Sicherheitslücke „CVE-2022-38028“ wurde mindestens seit Juni 2020 von einer russischen Hacker*innen-Gruppe ausgenutzt. Möglicherweise funktionierte sie aber schon im April 2019 als Einfallstor.

CVE-2022-38028 ermöglichte es Hacker*innen, Systemrechte auf den Windows-PCs der Opfer zu erhalten. Dafür wurde eine Lücke im Windows-Druckerdienst ausgenutzt. Inzwischen unter dem Begriff „PrintNightmare“ bekannt, ist diese Lücke im Drucker-Spooler-Dienst seit Jahren ein regelmäßiges Problem bei Windows. Um darüber die höchsten Systemrechte zu erhalten, war überraschend wenig nötig. Sie nutzten ein bisher unbekanntes Tool, das Microsoft „GooseEgg“ taufte.

➤ Mehr lesen: Wie russische Hacker der Ukraine zusetzen

Über ein einfaches Batch-Script wird das GooseEgg eingeschleust. Anschließen wird eine ausführbare Datei gestartet, die automatisch bei jedem Systemstart läuft. Zudem wird eine DLL-Datei gestartet, die unter verschiedenen Namen wie „Microsoft“, „Intel“, „Kaspersky“, oder „Ubisoft“ getarnt ist.

Einmal installiert, lässt sich so weitere Schadsoftware aus der Ferne auf den PC spielen. So konnten etwa Anmeldeinformationen gestohlen werden. Wie Microsoft jetzt aufklärt, konnten die Angreifer*innen einfach über die Befehlszeile jeden Code und jedes Programm ausführen, das sie wollten.

Patch schloss die Lücke schon 2022

Microsoft macht die Sicherheitslücke erst jetzt öffentlich. Geschlossen wurde sie aber schon im Oktober 2022. Allerdings informierte Microsoft die Nutzer*innen damals nicht darüber, dass die Sicherheitslücke aktiv ausgenutzt wurde. Dementsprechend war die Priorität für das Installieren des Patches niedrig. Warum Microsoft sich erst jetzt dazu äußert, ist unklar.

Da er aber bereits 2022 veröffentlicht wurde, sollte inzwischen jeder das Update installiert haben. Neueste Updates installiert man unter Windows in den Einstellungen > „Windows Update“. Microsoft stellt eine Liste der Update-Namen für sämtliche Windows-Versionen bereit. Ob man das Update tatsächlich installiert hat, verrät der Update Verlauf, den man ebenfalls in den Einstellungen findet.

➤ Mehr lesen: Microsoft warnt: Outlook-Lücke von russischen Angreifern ausgenutzt

Angriffe aus Regierungen in Ukraine, Westeuropa und Nordamerika

Laut Microsoft hatten die Hacker*innen Ziele in der Ukraine, Westeuropa und Nordamerika im Visier. Sie hatten es u.a. auf Regierungen, sowie Bildungs- und Transportorganisationen abgesehen. Verantwortlich soll die Gruppe „Forest Blizzard“ gewesen sein, die auch unter den Namen „Fancy Bear“, „APT28“, „Sofancy“ und „Sednit“ bekannt ist. Sie soll mit der Hauptnachrichtendienstdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) in Verbindung stehen.