Dipl.-Inform. Carsten Eilers

"Hacking Team" ist ein italienischer Hersteller von Überwachungssoftware. Deren Rechner wurden vor kurzem kompromittiert und 480 GByte Daten kopiert und in Umlauf gebracht. Erst mal beweisen die, dass Hacking Team bei der Auswahl seiner Kunden nicht besonders wählerisch ist, jedenfalls stehen auch etliche Diktaturen auf den Listen mit Kunden. Aber das ist eine andere Geschichte. Hier geht es ja um 0-Days. Und auch die hat Hacking Team im Angebot. Gehabt, denn jetzt sind sie ja bekannt und damit wohl kaum noch zu verkaufen.

In den kopierten Daten wurden bisher drei Exploits entdeckt: Zwei für den Flash Player (eine der Schwachstellen, CVE-2015-0349, wurde bereits im April gepatcht) und einer für den Windows-Kernel. Einen der Flash-Exploits preist Hacking Team als "the most beautiful Flash bug for the last four years" an. Die Daten enthalten neben einer Beschreibung des Fehlers auch PoC-Code zum Öffnen des Taschenrechners und tatsächlichen Schadcode.

Die 0-Day-Schwachstelle im Flash Player

Die 0-Day-Schwachstelle im Flash Player hat die CVE-ID CVE-2015-5119 bekommen, der Exploit dafür ist bereits in mehreren Exploit-Kits enthalten und wird unter anderem zur Verbreitung von Ransomware genutzt.

Der Exploit kann unter anderen aus Chromes Sandbox ausbrechen, wofür der 0-Day-Exploit für den Windows-Kernel genutzt wird.

Nachtrag 20:00 Uhr
Analysen der Schwachstelle und des Exploits wurden von den Bromium Labs und dem chinesischen 360Vulcan Team (Übersetzungen via Google Translate der Analyse dieser Schwachstelle, der im April gepatchten Schwachstelle und der Schwachstelle im Windows Kernel) veröffentlicht.

Es gibt auch bereits ein Modul für das Metasploit Framework, mit dem Sie testen können, ob ein Rechner angreifbar ist oder nicht.

Trend Micro hat herausgefunden, dass der 0-Day-Exploit bereits seit dem 1. Juli für gezielte Angriffe in Korea und Japan eingesetzt wurde. Da der Exploit damals noch nicht veröffentlicht war, dürfte ein Kunde von Hacking Team der damalige Angreifer sein.
Ende des Nachtrags

Adobe patcht die Schwachstelle

Adobe hat ein Security Advisory zur Schwachstelle veröffentlicht, betroffen sind alle Versionen des Flash Players bis einschließlich Version 18.0.0.194 für Windows, Mac OS X und Linux. Ein Patch wurde für den 8. Juli (vermutlich wohl Westküsten-Zeit der USA, Pacific Daylight Time, UTC-7) angekündigt.

Auf der Download-Seite für den Flash Player steht bereits Version 18.0.0.203 für Windows und Mac OS X bereit, die laut Adobes Security Bulletin nicht von der Schwachstelle betroffen sein sollte.

Nachtrag 20:00 Uhr
Adobe hat das Security Bulletin samt Updates veröffentlicht. Außer der 0-Day-Schwachstelle werden damit eine Vielzahl weiterer kritischer Schwachstellen behoben.
Ende des Nachtrags

Die 0-Day-Schwachstelle im Windows-Kernel

Über die 0-Day-Schwachstelle im Windows-Kernel ist bisher wenig bekannt, es gibt nicht mal eine CVE-ID. Die Schwachstelle befindet sich im Open Type Font Manager. Es handelt sich um einen klassischen Pufferunterlauf, der zur Privilegieneskalation genutzt werden kann, da die betroffene DLL ATMFD.dll im Kernel-Modus läuft. Übrigens stammt die DLL von Adobe. Einen Kommentar nach dem Motto "Ein Hersteller, sie alle zu exploiten" dazu spare ich mir mal. Ups.

Nachtrag 15.7.2015:
Die Schwachstelle hat die CVE-ID CVE-2015-2387 und wurde von Microsoft am Juli-Patchday behoben (Security Bulletin MS15-077).
Ende des Updates

Carsten Eilers