Dipl.-Inform. Carsten Eilers

Am Montag, den 11.4.2011, hat Adobe ein Security Advisory veröffentlicht und vor einer 0-Day-Schwachstelle im Flash Player gewarnt, die bereits für gezielte Angriffe ausgenutzt wird. Außer dem Flash Player sind auch wieder Adobe Reader und Acrobat betroffen, die eine von der Schwachstelle betroffene Komponente, Authplay.dll, enthalten. Außerdem sind auch wieder die Versionen für alle Betriebssysteme betroffen, Angriffe gibt es zumindest bisher aber nur auf Windows-Systeme. Soweit, so schlecht, und üblich. Das hatten wir ja oft genug, und eine Wette, dass das nicht die letzte 0-Day-Schwachstelle im Flash Player war, kann man ja wohl nur gewinnen.

Angriff über Word-Dokument

Nachdem bei der vorherigen 0-Day-Schwachstelle die Schwachstelle über per E-Mail an die potentiellen Opfer geschickte Excel-Dateien ausgenutzt wurde, dienen diesmal Word-Dateien als Träger, sonst ändert sich nichts. Möchte irgend jemand raten, was beim nächsten Mal dran ist? Ich tippe ja auf Powerpoint-Dateien.

Die präparierte Word-Datei wurde anfangs nur von einem der 42 von VirusTotal eingesetzten Virenscanner erkannt, inzwischen erkennen 26 von 41 Scannern die Schädlichkeit der Datei.

Der Analyse der Word-Datei(en) im Blog contagio zu Folge haben die Dateien verschiedene Namen:

• Disentangling Industrial Policy and Competition Policy.doc
• Japan Nuclear Weapons Program.doc
• Message from Anne.doc
• JOB_DESCRIPTION.doc
• plan.doc
• Response 2011.doc

Außerdem wurde laut contagio eine Excel-Datei mit dem Exploit mit dem Namen namelist.xls per E-Mail verschickt, und Trend Micro hat eine Word-Datei mit dem Namen APRIL 2011.doc entdeckt. Laut Microsoft wurde außerdem Dateien mit den Namen Fukushima .doc und evaluation about Fukushima Nuclear Accident.zip (enthält eine .doc-Datei) sowie zwei .doc-Dateien mit japanischen Schriftzeichen als Name entdeckt.

Die Angriffsziele

Empfänger der Dateien waren laut contagio Personen, deren Name in der Wikipedia zu finden sind (von so einer Art von Wörterbuchangriff habe ich auch noch nie gehört), sowie "assistants of former high ranked politicians who are now working at global consulting companies". Da kann es sich also nicht um Deutsche handeln, denn hier gehen ja die Politiker selbst in die Unternehmen, die Assistenten verschwinden in der Versenkung. Auch Brian Krebs berichtet über Angriffe auf "select organizations and individuals that work with or for the U.S. government".

Ich bin ja mal gespannt, ob es diesmal wieder erfolgreiche Angriffe gab. Ob sich demnächst wieder jemand outet? Und was die betroffenen Unternehmen oder Personen wohl von Adobe halten? Google war ja ziemlich sauer, dass man im Rahmen der Operation Aurora einer 0-Day-Schwachstelle im Internet Explorer zum Opfer fiel, und hat daraufhin Windows aus dem Unternehmen verbannt.

Der Schadcode

Die Exploits scheinen nicht sehr zuverlässig zu sein, laut contagio gibt es unterschiedliche Ergebnisse. Sie scheinen aber zumindest teilweise auch unter Windows 7 mit Microsoft Office 2007 und aktivierter ASLR zu funktionieren. Eingeschleust wird Code zum Öffnen einer Hintertür, laut Microsoft wird außerdem das für den Angriff verwendete Word-Dokument durch ein enthaltenes "sauberes" Word-Dokument ersetzt, um den Angriff zu vertuschen. Außerdem werden alle Prozesse mit dem Namen hwp.exe beendet.

Laut Avira enthalten die Word-Dateien keinen sinnvollen Inhalt, während von contagio eine Word-Datei mit Inhalt gezeigt wird. Die Erklärung dürfte das von Microsoft beschriebene Verhalten des Schadcodes sein: Anfangs enthält die Datei keinen sinnvollen Inhalt, sondern nur die eingebettete Flash-Datei, diese Version hat Avira gemeint. Nachdem der Schadcode ausgeführt wurde, wurde die ursprüngliche Word-Datei durch eine mit sinnvollem Inhalt ersetzt, die contagio zeigt.

Mir fällt gerade ein: Welchen Inhalt die für den Angriff auf RSA verwendeten Excel-Dateien hatten, wurde nicht veröffentlicht. Eigentlich ist der Inhalt der Trägerdatei ja auch völlig egal. Wichtig ist, dass die E-Mail, an die sie angehängt ist, das Opfer zum Öffnen der Datei bewegt. Danach tritt der Exploit in Aktion, die Trägerdatei ist dann für den Angreifer uninteressant. Ein halbwegs passender Inhalt erhöht allerdings die Wahrscheinlichkeit, dass das Opfer keinen Verdacht schöpft.

14.4. - Update für Google Chrome

Am 14.4.2011 hat Google ein Update für Chrome veröffentlicht, das u.a. die Schwachstelle in der enthaltenen Version des Flash Players behebt. Außerdem wurde noch drei kritische Schwachstellen im GPU-Code behoben, aber das tut hier nichts zu Sache. Ich habe mich ja immer gefragt, wie man so verrückt sein kann, sich freiwillig den Flash Player ins eigene Programm zu holen. Das Ding ist doch eine einzige Sicherheitslücke, und wirklich brauchen tut man den auch nicht. Aber ich glaube, jetzt weiß ich, wieso Google den integriert hat: So bekommen sie die Patches früher als alle anderen Browser. Aus Sicherheitssicht ist Chrome also in der Hinsicht im Vorteil. Ist es nicht schön, wie Adobe Sie im (Exploit-)Regen stehen lässt, wenn Sie Chrome nicht nutzen?

15.4. - Updates für den Flash Player

Am 15.4.2011 wurden dann die kurz zuvor angekündigten Updates für den Flash Player veröffentlicht. Updates für Adobe Reader und Acrobat (außer Adobe Reader X für Windows) wurden spätestens für die Woche ab den 25. April angekündigt. Also zwischen dem 22. und 25. brauchen sie die gar nicht erst zu veröffentlichen, ich glaube nicht, dass sich irgend jemand zwischen Karfreitag und Ostermontag für ein Update interessiert.

Das Update für den Adobe Reader X für Windows wird erst am regulären Patchday am 14. Juni erscheinen, da der aktuelle Exploit darin nicht funktioniert. Ich warte ja immer noch darauf, dass mal ein Cyberkrimineller einen Trick findet, den Protected Mode zu unterlaufen, und Adobe richtig alt aussehen lässt. Das wäre sonst das erste Adobe-Produkt ohne Schwachstelle, und das kann ich mir einfach nicht vorstellen.

Workarounds

Der beste Schutz vor Angriffen über den Flash Player besteht, wie von mir schon öfter erwähnt, darin, ihn zu löschen. Der nervt sowieso nur. Falls Sie ihn fürs Onlinebanking zwingend benötigen haben Sie Pech gehabt, wobei ich mich ja immer noch frage, wer sich das ausgedacht hat. Der muss garantiert für irgend einen Konkurrenten der die ChipTAN mit Flash-Zwang einführenden Banken arbeiten und bei denen eingeschleust worden sein. Falls demnächst Werbung für HBCI-Leser und -Software gemacht wird, hätte ich einen Verdächtigen...

Falls Sie den Flash Player behalten möchten, weil es nur damit so schöne bunte und nervende Werbung gibt, hat F-Secure einen guten Tipp: Wenn Sie die ActiveX-Version deinstallieren, können die Schwachstellen zumindest nicht mehr über die Office-Dateien ausgenutzt werden. Außerdem gibt es dann auch im Internet Explorer kein Flash mehr und Sie können sich davon überzeugen, wie viel entspannter das Surfen ohne ist. Falls Sie doch Flash-Seiten betrachten möchten (oder müssen, aufrichtiges Beileid!), können Sie z.B. Googles Chrome verwenden, da bekommen Sie dann die Patches auch gleich früher als für alle anderen Browser.

Carsten Eilers