Dipl.-Inform. Carsten Eilers

Ausgenutzt wird die Schwachstelle im Flash Player bis einschließlich Version 20.0.0.306. In neueren Versionen ist sie zwar ebenfalls vorhanden, eine mit Version 21.0.0.182 eingeführte Mitigation stoppt den Exploit in dieser und neueren Versionen. Bisher. Die Cyberkriminellen können durchaus auch noch Wege finden, die Mitigation zu unterlaufen.

Entdecker bekannt, mehr aber nicht

Die Schwachstelle wurde von Kafeine, Genwei Jiang von FireEye sowie Clement Lecigne von Google entdeckt, in deren Blogs etc. bisher keine Informationen über den Exploit veröffentlicht wurden. Was verständlich ist, da es noch keinen Patch gibt. Kafeine hat bereits angekündigt, sich erst nach der Veröffentlichung des Updates zu äußern.

Die Angriffsziele wurden auch nicht verraten

Es gibt bisher auch keine Hinweise auf die Art der Angriffe. Da Adobe aber nicht von vereinzelten oder gezielten Angriffen berichtet, dürfte es sich diesmal um Angriffe im größeren Stil handeln. Bei einer Schwachstelle im Flash Player mit ziemlicher Sicherheit in Form von Drive-by-Infektionen. Wofür auch die Beteiligung von Kafeine spricht, der sich viel mit den für die Drive-by-Infektionen verwendeten Exploit-Kits beschäftigt.

Flash löschen (einmal) oder Updates installieren (zwei mal)

Da die Drive-by-Infektionen in letzter Zeit sehr häufig über präparierte Werbung verbreitet wurden ist man dann wohl nirgends vor dem 0-Day-Exploit sicher. Falls Sie den Flash Player also nicht längst entsorgt haben, sollten Sie unbedingt Version 21.0.0.182 oder neuer installieren, um in den Schutz der Mitigation zu kommen. Und sobald Adobe das Update zum Beheben der Schwachstelle veröffentlicht hat sollte natürlich diese Version installiert werden. Sofern Sie sich nicht doch noch dazu durchringen können, den Flash Player zu löschen.

Update 8.4.2016:
Adobe hat die aktualisierte Version des Flash Players veröffentlicht. Das Update behebt außer der 0-Day-Schwachstelle auch noch eine lange Liste weiterer Schwachstellen. Die meisten davon ebenfalls kritische Remote-Code-Execution-Schwachstellen, die das Einschleusen von Code erlauben. Wollen Sie sich das mit der Installation des Updates vielleicht nicht doch noch mal überlegen und den Flash Player stattdessen nicht doch lieber löschen?
Ende des Updates vom 8.4.2016

Und fürs Protokoll: Dies ist der zweite 0-Day-Exploit in diesem Jahr. Der andere geht ebenfalls auf das Konto des Flash Players. Nachdem der 2015 für die Hälfte aller 0-Day-Exploits verantwortlich war möchte man fast sagen "Was auch sonst?".

Update 13.4.2016:

0-Day-Exploit für Drive-by-Infektionen genutzt!

Inzwischen ist bekannt, wo der 0-Day-Exploit entdeckt wurde: Wie befürchtet wurde er zuerst in Exploit-Kits, also für Drive-by-Infektionen, eingesetzt. Und zwar gleich in zwei Kits: Seit dem 31.3. in Nuclear Pack und seit dem 2.4. oder ebenfalls schon seit dem 31.3. in Magnitude.

Beide Exploit-Kits werden eingesetzt, um Ransomware auf den angegriffenen Rechnern zu installieren, konkret die Schädlinge Locky (über Nuclear) und Cerber (über Magnitude).

Laut Trend Micro richtet sich der Exploit auch gegen Mac OS X, viel mehr als das wird dort aber leider nicht berichtet. Insbesondere fehlt die Information, was der Exploit auf dem Mac anrichten soll.

Falls Sie Mac OS X nutzen, sollten Sie aber auch bei der Installation des Flash-Player-Updates besonders vorsichtig sein, denn es gibt Angriffe über Fake-Updates, so dass Sie sich womöglich eine Reihe von Schädlingen (oder "Unerwünschten Programmen") statt des Flash-Player-Updates installieren.

Auch wenn manche sagen, dass es da eigentlich keinen großen Unterschied gibt, sollte man das natürlich vermeiden. Laden Sie den Updater also nur von Adobes Server herunter. Am besten lassen Sie das den Flash Player selbst erledigen, der enthält ja eine entsprechende Funktion.

Ende des Updates vom 13.4.2016

Carsten Eilers