Skip to content

Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.

Wie angekündigt geht es heute um die aktuellen 0-Day-Exploits, die Angriffe auf Unternehmen wie Facebook, Apple und Microsoft und was sonst noch so alles damit zusammen hängt.

Das folgende basiert lose auf der "Timeline: Hacks Related to Apple" von Sean Sullivan von F-Secure, die ich teilweise korrigiert und um etliche zusätzliche Informationen erweitert habe.

10. Januar: Java-Exploit "in the wild" und vielen Exploit-Kits

Im Januar gab es die erste(n) 0-Day-Schwachstelle(n) in Java, die von Oracle innerhalb von 3 Tagen teilweise bzw. unvollständig behoben wurde(n). Detailliert habe ich mich dazu schon am 14. Januar geäußert, daher hier das Ganze nur in einer Kurzfassung:

Die Java-Schwachstelle mit der CVE-ID CVE-2013-0422 wurde bekannt, nachdem Exploits dafür in mehreren Exploit-Kits auftauchten. Später stellte sich heraus, dass es sich eigentlich um mehrere Schwachstellen handelt, die aber nur gemeinsam zum Einschleusen von Code ausgenutzt werden können.

Der Exploit wurde überwiegend zum Verbreiten von Ransomware eingesetzt, laut Kaspersky gab es die ersten Angriffe bereits am 17. Dezember 2012.

13. Januar: Oracle veröffentlicht einen Patch

Oracle veröffentlicht ein Update, dass die Schwachstelle CVE-2013-0422 aber nicht komplett behebt, wie schon kurze Zeit später bekannt wird.

Hinweise auf gezielte Angriffe gibt es nicht, allerdings wurde Ende Januar, also "lange" nach Veröffentlichung des Updates, die Website der "Reporter ohne Grenzen" im Rahmen eines Wasserloch-Angriffs mit dem Java-Exploit präpariert.

1. Februar: Java 7 Update 13 behebt weitere 0-Day-Schwachstelle

Oracle veröffentlicht das reguläre, eigentlich für den 19. Januar vorgesehene Java-Update. Detailliert habe ich mich dazu bereits am 4. Februar geäußert, daher hier nur eine Zusammenfassung:

Oracle hat das Update vorgezogen, da eine der damit gehobenen Schwachstellen bereits "in the Wild" ausgenutzt wird. Allgemein nennt man so was eine 0-Day-Schwachstelle, verständlicherweise vermeidet Oracle diesen Begriff. Wie üblich weist Oracle darauf hin, dass die meisten Schwachstellen "nur" die Clients betreffen und die Server ja viel sicherer sind. Wann weist mal irgend jemand Oracle darauf hin, dass es viel mehr Clients als Server gibt und die Java-Schwachstellen auf dem Server die Cyberkriminellen im allgemeinen nur rektal tangieren? Ach ja: Welche der 48 behobenen Schwachstellen im Client ausgenutzt wird, wurde geschickter weise nicht verraten. Auch das Advisory des US-CERT enthält nur die allgemeine Information über einen Angriff. Ich werde diese Schwachstelle daher vorerst als CVE-2013-java bezeichnen, da ich noch mehrmals darauf zurück kommen werde.

Informationen über die Art der Angriffe gibt es nicht.

1. Februar: Ein erstes Opfer meldet sich: Twitter

Ebenfalls am 1. Februar berichtet Bob Lord, Twitters "Director of Information Security", über einen Angriff auf Twitter, in Folge dessen bei 250.000 Accounts das Passwort zurück gesetzt wurde. Er rät dazu, Java im Browser auszuschalten und schreibt von ausgefeilten Angriffen, denen wahrscheinlich auch anderen Unternehmen und Organisationen zum Opfer gefallen sind.

7. Februar: Adobe patcht zwei 0-Day-Schwachstellen im Flash Player

Adobe behebt zwei 0-Day-Schwachstellen im Flash Player. Detailliert habe ich bereits am 11. Februar darüber berichtet, hier also wieder nur die Kurzfassung:

Die Schwachstellen mit den CVE-IDs CVE-2013-0633 und CVE-2013-0634 wurden für gezielte Angriff auf Windows-Benutzer (per E-Mail) sowie für Drive-by-Infektionen von Macs ausgenutzt. Im Advisory bedankt sich Adobe unter anderem beim Lockheed Martin Computer Incident Response Team für das Melden der einen Schwachstelle. Die AlienVault Labs berichten, dass verschiedene Industriebereiche, darunter Luft- und Raumfahrt, von den Angriffen betroffen sind.

8. Februar: Oracle kündigt erneutes Java-Update an

Oracle kündigt ein erneutes Update an, dass am 19. Februar veröffentlicht werden soll: Beim Vorziehen des Updates sind ein paar Patches auf der Strecke geblieben, die nun nachgereicht werden sollen.

An dieser Stelle enthält Sean Sullivans Timeline einen Fehler: Das vorgezogene Update wurde bereits am 1. Februar veröffentlicht, am 7. hat Oracle nichts veröffentlicht, nicht mal eine Warnung oder Ähnliches.

12. Februar: 0-Day-Schwachstellen in Adobe Reader und Acrobat XI

Adobe meldet, dass man Berichte über eine 0-Day-Schwachstelle in Adobe Reader und Acrobat XI untersucht. Detailliert habe ich mich damit bereits am 18. Februar befasst, hier also wieder nur die Zusammenfassung.

Adobes Untersuchungen gehen auf eine Meldung von FireEye zurück, die einen entsprechenden Exploit entdeckt und Adobe gemeldet haben. Der Angreifer spricht laut FireEye sehr wahrscheinlich entweder Spanisch oder Latein. Kleiner Kommentar am Rande: Latein? Das ist doch die Amtssprache im Vatikan-Staat - und laut Kaspersky wurden die 0-Day-Schwachstellen im Flash Player unter anderem von einer Überwachungssoftware aus der dunkelgrauen Grauzone verwendet. Hergestellt von einem italienischen Unternehmen. Merkwürdig, oder? OK, kommen wir wieder zu den Fakten.

Am gleichen Tag wurde das reguläre Update für den Flash Player veröffentlicht, aber keine der damit behobenen Schwachstellen wurde bereits ausgenutzt.

13. Februar: Adobe bestätigt die Schwachstellen

Adobe veröffentlicht ein Security Advisory und bestätigt das Vorhandensein von zwei Schwachstellen. Sie haben die CVE-IDs CVE-2013-0640 und CVE-2013-0641 und erlauben das Ausführen beliebigen Codes. Ausgenutzt werden die Schwachstellen im Rahmen gezielter Angriffe über per E-Mail an Windows-Nutzer geschickte PDF-Dateien.

Laut FireEye nutzt der Exploit JavaScript-Code mit italienischen Kommentaren. Und noch ein Kommentar, den ich mir nicht verkneifen kann: Italienische Kommentare - evtl. von einem Entwickler eines italienischen Unternehmens, dass ein Überwachungstool verkauft? Ausnahmsweise mal keine Chinesen als Urheber? Oder haben die in Italien eingekauft? Oder geklaut? Aber weiter mit den Fakten.

14. Februar: Sophos berichtet über einen gezielten Angriff

Sophos berichtet über einen gezielten Angriff auf ein nicht genanntes Unternehmen. Eingesetzt wurde ein Flash-Player-Exploit, die verwendeten digitalen Signaturen sind identisch mit den von Kaspersky gefundenen der italienischen Überwachungssoftware, es wird aber eine andere, nicht näher bezeichnete Flash-Player-Schwachstelle ausgenutzt. Sophos Fazit: Der Angriff befindet sich noch im Teststadium, die Komponenten sind noch nicht wirklich gut aufeinander abgestimmt. Oder kurz zusammengefasst: "In short, it's an interesting mix of professional work and amateur integration."

15. Februar: Mit Facebook meldet sich ein weiteres Opfer

Facebooks Security-Team berichtet über einen gezielten Angriff: Die Laptops einiger Facebook-Angestellter wurden im Januar beim Besuch einer "mobile developer website" kompromittiert. Ausgenutzt wurde eine 0-Day-Schwachstelle in Java. Welche, wird nicht verraten, behoben wurde sie von Oracle am 1. Februar. Es handelt sich also um die mysteriöse CVE-2013-java. Facebook konnte bestätigen, dass weitere Unternehmen betroffen sind, da man Command&Control-Server beobachten konnte, die von Schadsoftware aus anderen Unternehmen kontaktiert wurden.

18. Februar: F-Secure verknüpft ein paar Punkte

Sean Sullivan von F-Secure veröffentlicht einen Artikel in F-Secures Blog, in dem er ein paar bekannte Fakten zusammenzählt, zum Beispiel auch Apples Blockieren des Java-Plugins, und zum Schluss kommt, dass beim Angriff auf Facebook Mac-Rechner angegriffen wurden.

18. Februar: Mandiant berichtet über chinesische Angriffe

Mandiant veröffentlicht einen Bericht über gezielte Angriffe auf Unternehmen aus China (die aber nichts mit den aktuellen Angriffen zu tun haben). Die Angriffe konnten zu einem Gebäude zurück verfolgt werden, dass dem chinesischen Militär gehört. Einige Angaben von Mandiant sind aber falsch oder zumindest zweifelhaft, zum Beispiel meldete sich unter Telefonnummer eines angeblichen Hackers eine 69jährige Bäuerin und Ortsangaben sind auch ziemlich ungenau.

Generell ist beim Verfolgen von Angriffen Vorsicht geboten. Und wenn man es realistisch betrachtet: Wie wahrscheinlich ist es, dass jemand keine Kosten und Mühen scheut, um ein Unternehmen anzugreifen, dabei aber nicht darauf achtet, dass der Angriff nicht zu ihm zurück zu verfolgen ist? Wäre es nicht viel geschickter, den Angriff über einen gekaperten Rechner oder Proxy zu leiten, dessen Betreiber im Zweifelsfall sowieso niemand glaubt?

Wer auch immer hinter den aktuellen Angriffen steckt, er hat es sich nicht nehmen lassen, den Mandiant-Bericht als Köder für Angriffe über die Adobe-Reader-Schwachstelle CVE-2013-0641 zu nutzen.

18. Februar: Exploit für Java-Schwachstelle CVE-2013-0431 entdeckt

Ab dem 18. Februar wurden Exploits für die Java-Schwachstelle CVE-2013-0431 in einer Vielzahl von Exploit-Kits entdeckt. Bei CVE-2013-0431 handelt es sich um eine der Schwachstellen, die von Oracle am 1. Februar behoben wurden. Ob es sich dabei um die bereits zuvor "in the wild" ausgenutzte, von mir hier CVE-2013-java genannte Schwachstelle handelt, der Facebook zum Opfer fiel, ist nicht bekannt. Am 25. Februar wurde ein Metasploit-Modul zum Testen dieser Schwachstelle veröffentlicht. Der Exploit (der wieder auf mehreren Schwachstellen basiert) erlaubt den vollständigen Ausbruch aus der Java-Sandbox und das Umgehen der Sicherheitsstufen.

19. Februar: Auch Apple Opfer der Angriffe

Apple gibt gegenüber Reuters zu, das Opfer eines gezielten Angriffs geworden zu sein. Die Rechner einiger Mitarbeiter wurden beim Besuch einer Entwickler-Website über eine Java-Schwachstelle kompromittiert. Apple berichtet auch über Angriffe auf Mac-Rechner anderer Unternehmen. Laut AllThingsD handelt es sich bei der Website, über die die Angriffe erfolgten, um das iOS-Forum iPhoneDevSDK.

Apple ist also der gleichen Java-Schwachstelle zum Opfer gefallen wie Facebook: CVE-2013-java.

19. Februar: Und noch ein Java-Update...

Oracle veröffentlicht das aktualisierte Update für Java. Es wurden 5 weitere Schwachstellen behoben, keine davon wurde zuvor ausgenutzt.

19. Februar: Aktuelle Angriffe aus Russland, Osteuropa, China?

Laut Blomberg vermuten "Investigators" die Urheber der Angriffe in Russland oder Osteuropa. Laut Reuters vermutet eine nicht genannte, mit dem Angriff auf Apple befasste Person die Urheber in China, auch wenn es keinen Beweis dafür gibt. Das erinnert doch sehr an "Verhaften Sie die üblichen Verdächtigen!"

20. Februar: Adobe patcht Adobe Reader und Acrobat

Adobe veröffentlicht Updates für den Adobe Reader und Acrobat XI, um die Schwachstellen CVE-2013-0640 und CVE-2013-0641 zu beheben. Im zugehörigen Security Bulletin gibt es wieder nur den allgemeinen Hinweis auf Angriffe "in the wild".

20: Februar: iPhoneDevSDK bestätigt Kompromittierung

iPhoneDevSDK bestätigt die Kompromittierung der eigenen Website. Ein Administrator-Account wurde übernommen und danach verwendet, um Code für Drive-by-Infektionen in die Website zu integrieren. Während man bei iPhoneDevSDK davon ausgeht, dass die Drive-by-Infektionen am 31. Januar endeten und den Beginn des Angriffs bisher nicht feststellen konnte, konnte Eric Romang ähnliche Angriffe über andere Websites bis ins Frühjahr 2012 zurückverfolgen.

21. Februar: NBC.com kompromittiert

NBC.com wurde nach einer Kompromittierung für Drive-by-Infektionen präpariert. Ausgenutzt wurden die Java-0-Day-Schwachstelle aus dem Januar, CVE-2013-0422, und eine nicht näher bezeichnete PDF-Schwachstelle. Eingeschleust wurde ein Onlinebanking-Trojaner. Weitere Websites waren ebenfalls betroffen, darunter die der Talkmaster Jay Leno und Jimmy Fallon.

21. Februar: Zendesk wurde gehackt

Der Support-Dienstleister Zendesk gibt bekannt, dass die eigenen Systeme kompromittiert wurden. Details über den Angriff wurde nicht verraten, es scheint aber keine Zusammenhang mit den 0-Day-Schwachstellen zu geben. Die wage Beschreibung

"As soon as we learned of the attack, we patched the vulnerability and closed the access that the hacker had. Our ongoing investigation indicates that the hacker had access to the support information that three of our customers store on our system."

klingt eher nach einer Schwachstelle in einem der Zendesk-Server als nach einem kompromittierten Desktop-Rechner.

Betroffen sind Benutzer von Twitter, Tumblr und Pinterest

22. Februar: Auch Microsoft unter den Opfern

Microsoft gibt bekannt, dass man ebenfalls zu den Opfern der aktuellen Angriffe gehört. Eine kleine Anzahl von Rechnern, unter anderen in der Mac Business Unit, wurden mit Schadsofware infiziert. Der Angriff erfolgte wie bei den anderen Unternehmen über die Java-Schwachstelle CVE-2013-java.

25. Februar: 0-Day-Schwachstelle in Ichitaro

In der japanischen Textverarbeitung Ichitaro wird eine 0-Day-Schwachstelle gemeldet. Die Angriffe sind auf Japan beschränkt und habe mit ziemlicher Sicherheit nichts mit den anderen Angriffen über 0-Day-Schwachstellen zu tun. Der Vollständigkeit halber wollte ich diese neue 0-Day-Schwachstelle aber zumindest erwähnt haben.

25. Februar: Zwei weitere Schwachstellen in Java entdeckt

Security Explorations hat zwei weitere Schachstellen in der aktuellen Java-Version Java 7 Update 15 an Oracle gemeldet. Beide Schwachstellen zusammen erlauben den Ausbruch aus der Java-Sandbox, ein Exploit wurde bisher aber nicht veröffentlicht.

26. Februar: Zwei neue 0-Day-Schwachstellen im Flash Player

Adobe veröffentlicht ein Security Bulletin samt Updates für den Flash Player, mit dem drei Schwachstellen behoben werden. Zwei davon, CVE-2013-0643 und CVE-2013-0648, wurden bereits für gezielte Angriffe auf Firefox-Nutzer ausgenutzt. Die Opfer wurden dafür dazu verleitet, auf einen Link zu klicken, über den sie auf eine präparierte Website gelangten. Weitere Details wurden nicht verraten, so ist auch unbekannt, gegen wen die Angriffe gerichtet waren.

27. Februar: Gezielte Angriffe über CVE-2013-0640

Kaspersky und CrySyS berichten über eine neue Spyware: MiniDuke. Der Schädling wird gegen Regierungsorganisationen und Einrichtungen weltweit eingesetzt. Die aktuellste Version stammt vom 20. Februar. Per Social Engineering werden die Opfer zum Öffnen einer PDF-Datei bewegt, die die am 12./13. Februar gemeldete und am 20. Februar behobene Schwachstelle CVE-2013-0640 im Adobe Reader ausnutzt.

Die Zusammenfassung

Fassen wir das Ganze mal zusammen:

  • Die erste Java-0-Day-Schwachstelle CVE-2013-0422 wurde mit einer Ausnahme (der Kompromittierung der Website der Reporter ohne Grenzen im Rahmen eines Wasserloch-Angriffs) "nur" für die Verbreitung von "normalen" Drive-by-Infektionen ausgenutzt. Wem der Wasserloch-Angriff galt, ist nicht bekannt.
  • Die zweite Java-0-Day-Schwachstelle, CVE-2013-java, wurde für die Angriffe auf Facebook, Apple und Microsoft sowie sehr wahrscheinlich weitere Unternehmen verwendet.
  • Die ersten beiden 0-Day-Schwachstellen im Flash Player, CVE-2013-0633 und CVE-2013-0634, wurden für Angriffe auf verschiedene Industriebereiche, darunter Luft- und Raumfahrt, verwendet.
  • Die 0-Day-Schwachstelle CVE-2013-0640 in Adobe Reader und Acrobat wurde von MiniDuke ausgenutzt, die Angriffe richten sich gegen Regierungsorganisationen und Einrichtungen weltweit.
  • Wer über die 0-Day-Schwachstelle CVE-2013-0641 in Adobe Reader und Acrobat angegriffen wurde, ist nicht bekannt.
  • Die 0-Day-Schwachstelle in Ichitaro wird nur in Japan ausgenutzt, Zusammenhänge zu den anderen Angriffen scheinen nicht zu bestehen.
  • Auch wer über den zweiten Satz Flash-Player-Schwachstellen, CVE-2013-0643 und CVE-2013-0648, angegriffen wurde, ist bisher unbekannt.

Insgesamt muss ich feststellen, dass im Hinblick auf die 0-Day-Schwachstellen doch sehr vieles noch unbekannt ist. Hier noch kurz eine aktualisierte Übersicht, insgesamt sind es inzwischen 10 0-Day-Schwachstellen:

Nummer Programm
1 Internet Explorer
2 Java
3 Java
4 + 5 Flash Player
6 + 7 Adobe Reader
8 Ichitaro
9 + 10 Flash Player

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt

Vorschau anzeigen
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: 28. Februar: FireEye meldet die nächste Java-0-Day-Schwachstelle F

Dipl.-Inform. Carsten Eilers am : Java im Webbrowser - Oracle reitet ein totes Pferd

Vorschau anzeigen
Oracle hat mit Java 7 Update 21 erneut eine Vielzahl von Schwachstellen behoben: 42 Stück, von denen nur zwei Server-Installationen von Java betreffen. Dafür können 39 der Schwachstellen ohne Authentifizierung aus dem Internet au

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2013 eingesetzten 0-Day-Exploits: Nummer Veröffentlicht Gepatcht Programm(Link zum Blog-Artikel) CVE-ID 1

Dipl.-Inform. Carsten Eilers am : Wasserloch-Angriffe, Teil 1: Ein paar Beispiele

Vorschau anzeigen
Ab dieser Folge gibt es eine Aktualisierung zu gleich zwei Themengebieten, denn Wasserloch-Angriffe ("Watering Hole Attacks") sind gezielte Drive-by-Infektionen, die meist im Rahmen von Advanced Persistent Threats zum Einsatz kommen. Eine Dri