Skip to content

Die erste 0-Day-Schwachstelle 2014 befindet sich im Flash Player

Geschrieben von Carsten Eilers am um 10:35

Es geht wieder los: Der erste 0-Day-Exploit 2014 wurde entdeckt: Eine Schwachstelle im Flash Player erlaubt die Ausführung eingeschleusten Codes und wird bereits für Angriffe ausgenutzt.

4. Februar 2014: Adobe veröffentlicht Updates

Am 4. Februar hat Adobe außer der Reihe Updates für den Flash Player veröffentlicht. Im zugehörigen Security Bulletin APSB14-04 steht wie üblich wenig über die Schwachstelle oder die Angriffe darauf. Adobe schafft es immer wieder, die Bulletins mit Redundanz statt Informationen zu füllen - unter "Details" steht mehr oder weniger das gleiche wie unter "Summary" und "Solution". Die einzig wirklich interessanten Informationen: Es handelt sich um einen Integer-Unterlauf, der zur Ausführung von Code ausgenutzt werden kann. Und "Adobe is aware of reports that an exploit for this vulnerability exists in the wild", was ja nun alles oder nichts bedeuten kann - wird der Exploit für Angriffe genutzt, oder ist es "nur" ein Proof-of-Concept? Gibt es gezielte Angriffe oder wird der Exploit in einem Exploit-Kit für Drive-by-Infektionen genutzt?

Der CVE-Eintrag zu CVE-2014-0497 ist zur Zeit noch leer, dort gibt es also auch keine weiterführenden Informationen.

Adobe bedankt sich bei Alexander Polyakov und Anton Ivanov vom Kaspersky Lab für die Meldung der Schwachstelle. Das legt erst mal schon den Schluss nahe, dass die Schwachstelle bereits für Angriffe ausgenutzt wird.

"A short while ago": Kaspersky entdeckt 11 Exploits

Im Blog von Kaspersky gibt es einen Eintrag, der etliche Hintergrundinformationen liefert:

"A short while ago" wurden 11 Exploits entdeckt, die über eine bisher unbekannte Schwachstelle verschiedene Versionen des Flash Players angreifen. Alle Exploits sind ungepackte SWF-Dateien und enthalten identischen ActionScript-Code zur Prüfung der Systemversion. Die Exploits werden nur unter folgenden Windows-Versionen aktiv:

  • XP
  • Vista
  • 2003, 2003 R2
  • 7, 7 x64
  • 2008, 2008 R2
  • 8, 8 x64

Einige Exploits prüfen auch, ob sie unter Windows 8.1 oder 8.1 x64 laufen und beenden sich unter diesen Versionen.

Nach der Prüfung der Systemversion wird eine von zwei Funktionen aktiv, die eine von der Version des Flash Players abhängige Anweisungskette für das Return-Oriented Programming zum Umgehen von DEP aufbaut. Eine der Funktionen erzeugt den Code für Windows 8 und 8 x64, die andere den für alle anderen Windows-Versionen. Danach wird zur Windows-Version passender Shellcode erzeugt und die Schwachstelle ausgenutzt.

Es gibt drei Arten von Shellcode:

  1. Code, der die ausführbare Datei a.exe aus einer SWF-Datei liest und auf die Festplatte schreibt. Nur einer der 11 Exploits enthält so eine Payload.
    a.exe ist ein einfacher Downloader, der (vermutlich) drei weitere Schadprogramme nach lädt: Ein Programm zum Sammeln von Zugangsdaten aus verschiedenen Programmen und Login-Webseiten, eine Backdoor und ein Programm, dass Kaspersky nicht herunterladen konnte.
  2. Code, der eine Datei von einer in den Parametern der SWF-Datei enthaltene URL lädt und ausführt. Da Kaspersky die zu den SWF-Dateien gehörenden HTML/DOC-Dateien mit den Parametern nicht besitzt, ist unbekannt, was installiert wird.
  3. Nur einige der Exploits enthalten den dritten Shellcode, der über die MessageBox ein Dialogfenster mit den Nachrichten
    «Oops – what happened ?X “
    und
    «You have been owned by CorelanX »
    öffnet. Peter Van Eeckhoutte vom Corelan Team vermutet, dass der entsprechende Code aus der Exploit-DB kopiert wurde, vielleicht versucht auch jemand, dem guten Ruf des Corelan Team zu schaden. Mit den 0-Day-Exploits und Angriffen hat das Corelan Team jedenfalls nichts zu tun, da es sich nicht um Cyberkriminelle, sondern um Sicherheitsforscher handelt.

Mit Hilfe des Kaspersky Sensor Networks konnte festgestellt werden, dass die SWF-Dateien ursprünglich in .docx-Dateien mit verschiedenen koreanischen Namen eingebettet waren. Die Exploits wurden auf drei Rechnern entdeckt: Einer lief unter Mac OS 10.6.8 (Pech für den Exploit, der wurde darauf ja dummerweise nicht ausgeführt), die Exploits wurden in einem Mail-Anhang entdeckt. Die beiden anderen liefen unter Windows 7, dort wurden die Exploits im Browser-Cache entdeckt (wo sie auch von Outlook platziert worden sein können).

An Hand der IP-Adressen werden die Rechner in China vermutet, auch der verwendete Browser SogouExplorer stammt aus China, die Mailbox wurde auf 163.com gehostet. Alles zusammen deutet auf gezielte Angriffe über E-Mails auf chinesische Benutzer hin. Weitere Informationen hat Kaspersky (noch) nicht.

Zumindest die Information "vermutlich gezielte Angriffe" hätte Adobe ruhig in sein Security Bulletin aufnehmen können. Es ist ja schon ein Unterschied, ob ein Exploit von einem Angreifer für gezielte Angriffe per E-Mail verwendet wird oder als Teil eines Exploit-Kits von zig Cyberkriminellen genutzt wird und damit quasi auf jeder Website zu finden sein kann.

Updaten Sie jetzt - besser manuell als automatisch!

Adobe hat die Updates bereitgestellt, für Chrome und Internet Explorer mit integriertem Flash Player (IE 10 für Windows 8, Server 2012 und RT sowie IE 11 für Windows 8.1, Server 2012 R2 und RT 8.1) gibt es ebenfalls Updates. Für Chrome sogar wie so oft schon einen Tag früher als für die Stand-Alone-Player und den IE.

Wer so wie ich nicht den Herstellern die eigenmächtige Installation von Updates erlaubt, sondern selbst entscheidet, welches Update wann (oder auch gar nicht) installiert wird, muss das Update selbst herunter laden. Und wer es Adobe überlässt, sollte vielleicht besser auch selbst nachhelfen. Denn beim Update eines Testrechners ist mir gestern die folgende Nachricht präsentiert worden:

Adobe installiert das Update irgendwann in den nächsten 45 Tagen
Abb. 1: Adobe installiert das Update irgendwann in den nächsten 45 Tagen

Das ist doch wohl nicht ernst gemeint? Automatische Updates werden irgendwann innerhalb von 45 Tage installiert? Na, gut dass wir mal darüber gesprochen haben. Das nenne ich mal... tja, wie nennt man sowas? Eigenwillig? Ein kritisches Update wird irgendwann innerhalb der nächsten 45 Tagen installiert? Wenn es dann mal nicht schon längst zu spät ist. Naja, ich weiß schon, warum ICH hier entscheide, wann etwas installiert wird oder nicht. Also wirklich. Da bekomme ich ja Kopfschmerzen vom Kopfschütteln.

Also: Wenn Sie den Flash Player installiert lassen wollen (ohne surft es sich viel entspannter, glauben Sie mir, auf meinem Arbeitsrechner ist schon seit etlichen Jahren kein Flash Player mehr installiert), sollten Sie das Update besser selbst installieren. Das automatische Update könnte zu spät kommen. Denn früher oder später landet der Exploit in den Exploit-Kits, und dann kann er über präparierte Werbung auch auf jeder noch so seriösen Website landen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kommentare zu trickreichen Drive-by-Infektionen und mehr

Vorschau anzeigen
Heute gibt es Kommentare zur 0-Day-Schwachstelle im Flash Player, einer neuen Taktik für Drive-by-Infektionen und Werbung für bösartige Installationsprogramme. Und gleich zu Anfang einen Hinweis zu Schadsoftware anlässlich der O

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Flash Player, die zweite (im Februar 2014)

Vorschau anzeigen
Die dritte 0-Day-Schwachstelle des Jahres befindet sich im Flash Player. Und weil das so harmlos klingt: Es ist nicht nur die dritte 0-Day-Schachstelle des Jahres, sondern auch des Monats - die erste wurde von Adobe am 4. Februar behoben, am 13.