Skip to content

0-Day-Exploit für Adobes Flash Player im Einsatz, kein Patch verfügbar

Geschrieben von Carsten Eilers am um 00:37

Trend Micro hat einen 0-Day-Exploit für den Flash Player entdeckt. Und damit einen eigentlich recht erfreulichen Oktober-Patchday getrübt: Weder Microsoft noch Adobe haben einen Patch für bereits ausgenutzte Schwachstellen veröffentlicht. Microsoft hat lediglich vier bereits veröffentlichte, aber noch nicht angegriffene Schwachstellen behoben.

Gezielte Angriffe mit 0-Day-Exploit für Flash Player

Trend Micro hat einen 0-Day-Exploit für den Flash Player entdeckt: Die Angreifer hinter "Pawn Storm" verwenden den Exploit für gezielte Angriffe auf verschiedene Außenministerien. Per E-Mail werden Mitarbeiter auf mit dem 0-Day-Exploit präparierte Websites gelockt, die verwendeten Server sind zuvor schon entsprechend aufgefallen. Adobe wurde über die Schwachstelle informiert und arbeitet an einer Lösung. Eine CVE-ID ist noch nicht bekannt.

Update 15.10.:
Adobe hat ein Security Advisory zur Schwachstelle, die die CVE-ID CVE-2015-7645 erhalten hat, veröffentlicht. Ein Patch wird für die Woche ab dem 19. Oktober erwartet.
Außer dem Flash Player für Windows sind auch die Versionen für Mac OS X und Linux betroffen. Die aktuellen Angriffe richten sich aber nur gegen die Windows-Version.
Ende des Updates vom 15.10.

Update 16.10.:
Adobe hat ein Security Bulletin sowie Updates veröffentlicht, die diese sowie zwei weitere ähnliche Schwachstellen korrigieren.
Das ging ja sehr fix. Sogar schneller, als Adobe gestern noch angegeben hat. Da drängt sich die Frage auf, ob der Patch einfach schneller durch alle Tests war oder ob die Angriffe als so gefährlich eingestuft wurden, dass man sich besonders beeilt hat. Oder beides?
Ende des Updates vom 16.10.

Dies ist dieses Jahr bereits der 8. 0-Day-Exploit für den Flash Player, insgesamt gab es bisher 15 0-Day-Exploits. Der Rest verteilt sich auf Microsoft Office (4 Exploits), Internet Explorer (3 Exploits) und Java (1 Exploit).

Adobe: Keine Patches für 0-Day-Schwachstellen am Patchday

Adobe hat am Oktober-Patchday weder für Adobe Acrobat und Reader noch für den Flash Player Patches für 0-Day-Schwachstellen veröffentlicht. Weder für bisher nicht öffentlich bekannte (was ja eigentlich erfreulich ist), noch für die parallel von Trend Micro veröffentlichte. Was gar nicht gut ist. Womöglich müssen wir also bis zum nächsten Patchday warten, bis diese Schwachstelle behoben wird.

Microsoft: 4 0-Day-Schwachstellen behoben, keine Angriffe bekannt

Microsoft hat am Oktober-Patchday vier 0-Day-Schwachstellen behoben, über die es aber bisher keine Angriffe gibt:

  • CVE-2015-6056 ist eine Memory Corruption im IE, die die Ausführung eingeschleusten Codes erlaubt.
    Das zuständige Security Bulletin MS15-106 enthält keine weiterführenden Informationen. Microsoft bedankt sich bei Dhanesh Kizhakkinan von FireEye für die Meldung der kritischen Schwachstelle, im dortigen Blog gibt es bisher auch keine Informationen über die Schwachstelle.
  • CVE-2015-6039 ist eine XSS-Schwachstelle in Microsoft SharePoint.
    Das zuständige Security Bulletin MS15-110 enthält auch hier keine weiterführenden Informationen. Microsoft bedankt sich für die Meldung dieser Schwachstelle bei niemanden.
  • CVE-2015-2552 ist eine Schwachstelle im Windows Kernel: Trusted Boot wird nicht korrekt durchgesetzt, so dass ein Angreifer Integritätsprüfungen für Code umgehen kann.
    Das zuständige Security Bulletin MS15-111 enthält auch hierzu keine weiteren Informationen. Microsoft bedankt sich auch für die Meldung dieser Schwachstelle bei niemandem.
  • CVE-2015-2553 ist eine weitere Schwachstelle im Windows Kernel: Ein Fehler beim Anlegen von Mount Points kann zum Beispiel für den Ausbruch aus einer Sandbox genutzt werden.
    Das zuständige Security Bulletin MS15-111 enthält auch hierzu keine weiteren Informationen. Microsoft bedankt sich für die Meldung dieser Schwachstelle bei James Forshaw von Googles Project Zero. Weitere Informationen gibt es auch dort bisher nicht.

Fazit

Es ist ja erfreulich, wenn man nicht durch ein Security Bulletin erfahren muss, dass eine Schwachstelle bereits für Angriffe ausgenutzt wird. Der 0-Day-Exploit für den Flash Player ist allerdings sehr unschön. Bisher betrifft er zwar nur Außenministerien, aber wer weiß schon, wann die "Pawn Strom"-Hintermänner den Exploit an die normalen Cyberkriminellen verkaufen, damit die ihn noch für breit gestreute Drive-by-Infektionen nutzen können, bevor es einen Patch gibt?

Andererseits: Flash Player? Braucht man doch gar nicht mehr. Also: Weg damit, dann können die Cyberkriminellen auch keine Schwachstellen darin mehr ausnutzen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2015 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2015 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013 und 2014. Nummer

Dipl.-Inform. Carsten Eilers am : Microsofts November-Patchday: 4 0-Day-Schwachstellen, aber keine Exploits

Vorschau anzeigen
Am November-Patchday hat Microsoft 4 0-Day-Schwachstellen behoben. Keine davon wird bisher ausgenutzt. Und keine davon ist auch nur im entferntesten kritisch. Noch besser sieht es bei Adobe aus: Im Flash Player wurden zwar 17 Schwachstelle be