Dipl.-Inform. Carsten Eilers

... werden Ihnen präsentiert von Adobe, Microsoft und Firefox. Sie befinden sich im

• Flash Player, CVE-2010-3654, ausgenutzt über den Adobe Reader und im Flash Player bereits behoben,
• Adobe Reader, bisher ohne CVE-Eintrag und noch offen,
• Internet Explorer, CVE-2010-3962, ebenfalls noch offen, und
• Firefox, CVE-2010-3765, bereits nach einem Tag behoben.

Gezielte Angriffe, Drive-by-Infektionen und ein PoC

Die Schwachstellen im Flash Player (die über den Adobe Reader ausgenutzt wurde) und Internet Explorer wurden zuerst im Rahmen gezielter Angriffe ausgenutzt, der Exploit für die Firefox-Schwachstelle wurde zuerst auf der kompromittierten Website des Nobel-Preises gefunden. Für die Schwachstelle im Adobe Reader ist bisher nur ein Proof-of-Concept bekannt, der zum Absturz des Browsers führt. Als Workaround für diese Schwachstelle schlägt Adobe die Nutzung des JavaScript Blacklist Frameworks vor.

Adobe diesmal besonders fix?

Die Schwachstelle im Flash Player wurde für Adobe-Verhältnisse sehr schnell behoben, ich hoffe nur, dass die Schwachstelle bereits zuvor vertraulich gemeldet wurde und der Patch schon fertig war. Sollte das ein Schnellschuss gewesen sein, geht der hoffentlich nicht daneben.
An der aktuellen Gefährdung ändert der Patch sowieso nichts, da die Schwachstelle ja über den im Adobe Reader integrierten Flash Player ausgenutzt wird und der noch nicht gepatcht wurde. Die Schwachstelle zuerst in der Komponente zu beheben, in der sie nicht ausgenutzt wird, ist auch etwas eigenwillig, um es mal höflich zu formulieren. Denn wie Adobe selbst im Security Advisory bekannt hat: "Adobe is not currently aware of attacks targeting Adobe Flash Player." Nunja. Und wieso eine PDF-Datei überhaupt Flash darstellen muss, weiß wahrscheinlich auch nur Adobes Marketingabteilung. Aber dem Adobe Reader geht es sowieso wie Emacs: Beides sind bereits halbwegs brauchbare Betriebssysteme, nur ein Editor (Emacs) bzw. PDF-Viewer (Adobe Reader) fehlen ihnen noch.

Flash Player nur mit Virenscanner zu gebrauchen?

Adobe hält den Flash Player für so gefährlich, das auf Windows-Systemen gleich per Default McAfees Security Scan Plus installiert wird. Wie zuvorkommend. Nein, das ist nicht ironisch gemeint, ich freue mich immer über gute Argumente, wieso man Flash meiden sollte. Und wenn der Hersteller selbst zur Installation eines Virenscanners rät, sagt das ja wohl alles.

Selbstversuch "ohne Flash"

Zur Zeit setze ich testweise auf einem Arbeitsplatzrechner zwei verschiedene Browser-Plugin-Kombinationen ein: In Safari ist ClickToFlash installiert (und aktiviert, so dass Flash nicht ausgeführt wird, sofern ich es nicht ausdrücklich erlaube), in Firefox ist Flash erlaubt. Bisheriges Fazit: In Safari vermisse ich nichts. Dass z.B. bei YouTube die Videos ohne Flash viel einfacher herunter geladen werden können, ist sogar ein Vorteil. Und seitdem in Safari kein Flash mehr läuft, ist der Browser noch nicht abgestürzt, was er früher öfter mal gemacht hat. Auslöser war fast immer der Flash-Player, wobei ich beinahe geneigt bin, das "fast" zu streichen. Argumente für Flash fallen mir da eigentlich nicht mehr ein. Das Browsen mit Firefox ist dagegen stressiger (Flash-Werbung nervt einfach nur), und zwei Mal ist der Firefox abgestürzt - beide Mal auf Seiten mit größeren Flash-Animationen. Im Zweifel für den Angeklagten? Gerne, Firefox wird also frei gesprochen. Und der Flash-Player dürfte es schwer haben, bei der nächsten Systeminstallation auf der Platte zu landen. Wann lässt Apple denn den Löwen von der Kette?

Adobe Reader: Der will doch nur spielen...

Den Adobe Reader möchte Adobe in den Sandkasten sperren. Gute Idee, da gehört er auch hin. Und wenn er irgendwann mal erwachsen geworden ist und nicht mehr ständig in die Hose und andere Leute Computer pinkelt, wird aus ihm ja vielleicht doch noch ein brauchbarer PDF-Reader. Vorher sollte aber erst mal kräftig abspecken, er hat ein paar Funktionen zu viel auf den Rippen. Zum Beispiel auch den Flash Player. Den braucht doch wohl kaum jemand wirklich, Cyberkriminelle ausgenommen.

Flash-Schädling mit Uninstaller und Erkennungsmarke

Der Schädling, der die Schwachstelle im Flash Player ausnutzt, weist einige Besonderheiten auf: Er enthält eine Uninstall-Funktion (wie nett von den Cyberkriminellen) und versucht über eine in Outlook, Internet Explorer oder Firefox eingeschleuste DLL alle 5 Minuten eine Konfigurationsdatei mit weiteren Anweisungen nachzuladen. Bei jedem dieser Download-Requests liefert er genug Informationen mit, um infizierte Rechner zu identifizieren. Als Admin muss man also nur über ein IDS nach entsprechenden Requests suchen, zum entsprechenden Rechner gehen und dort den Schädling mit der Uninstall-Funktion entfernen. Bei so viel Entgegenkommen der Cyberkriminellen dürfte in der nächsten Version des Schädlings wohl eine Remote-Uninstall-Funktion zu erwarten sein.

Ein Überblick über die Adobe-Produkte/Schwachstellen

Falls Sie bei den Adobe-Produkten den Überblick verloren haben und nicht mehr wissen, welche Versionen welcher Programme bekannte Schwachstellen enthalten, können Sie einen Blick ins Handler's Diary des ISC werfen: Johannes Ullrich hat dort am 4. November eine Übersicht veröffentlicht. Der zu Folge enthalten die aktuellen Versionen von Adobe Reader, Acrobat und Shockwave Player bekannte offene Schwachstellen. Wie viele bisher unentdeckte Schwachstellen drin sind, weiß natürlich niemand, aber das wollen Sie gar nicht wissen.

Workarounds für die IE-Schwachstelle

Die Ausnutzung der Schwachstelle im IE kann mit Hilfe verschiedener Workarounds verhindert oder erschwert werden. Da die Schwachstelle beim Auswerten von CSS-Informationen auftritt, kann das möglicherweise bösartige Website-eigene CSS durch ein eigenes Style Sheet ersetzt werden, wofür eine Fix it Lösung bereit steht. DEP verhindert die Ausnutzung der Schwachstelle mit den aktuellen Exploits (Fix It für IE 7), mit Hilfe des Enhanced Mitigation Experience Toolkit (EMET) können außer DEP weitere Gegenmaßnahmen gegen mögliche zukünftige Exploits aktiviert werden. Zu guter Letzt gibt es noch die altbekannte Option, die Sicherheitszonen für Internet und Intranet auf "hoch" einzustellen, um die Ausführung aktiver Inhalte zu verhindern. Danach dürfte das Surfen im Web 2.0 aber nicht mehr viel Spaß machen.

IE: Gezielte Angriffe und ein Tool für Drive-by-Infektionen

Laut Symantec, die den Exploit zuerst entdeckt haben, wird die Schwachstelle bisher für sehr gezielte Angriffe ausgenutzt. Funktionsfähiger Exploitcode wurde aber auch schon in der Exploit-DB veröffentlicht, mit der Ausnutzung der Schwachstelle im Rahmen von Drive-by-Infektionen ist also zu rechnen. Warum sollten die Cyberkriminellen ausgerechnet auf die Ausnutzung dieser offenen Schwachstelle verzichten? Zumal Trend Micro über ein Tool berichtet, mit dem Webseiten mit JavaScript-Code zum Ausnutzen der Schwachstelle erzeugt werden können: HKTL_ELECOM.
Möglichkeiten zum Schutz vor Drive-by-Infektionen hat das Internet Storm Center zusammengestellt.

Fazit: Schöne Weihnachts-Aussichten

Von den vier veröffentlichten 0-Day-Schwachstellen sind noch 3 offen. Während für die ausgenutzte Flash-Schwachstelle im Adobe Reader ein Update für die Woche ab dem 15. November angekündigt wurde, gibt es zu Patches für die Schwachstellen im Internet Explorer und Adobe Reader keine Informationen. Zumindest für den kommenden Microsoft-Patchday wurde kein Bulletin für den Internet Explorer angekündigt, der nächste reguläre Patchday ist am 14. Dezember. Sollte Microsoft bis dahin keinen Patch veröffentlichen, gehen wir mit einer offenen Schwachstelle im IE in die Weihnachtszeit. Das gleiche gilt für die Schwachstelle im Adobe Reader, dort gibt es aber außer dem für die Woche ab dem 15. November angekündigten außerplanmäßigen Patchtermin für die Flash-Schwachstelle in diesem Jahr gar keinen offiziellen Termin mehr. Der nächste offizielle Patchday ist erst am 8. Februar 2010. Aber da Adobe die Termine in letzter Zeit sowieso nicht eingehalten hat, hat das wohl nichts zu bedeuten.

Carsten Eilers