Dipl.-Inform. Carsten Eilers

Die Schwachstelle kann über eine präparierte SVG-Animation ausgenutzt werden, um Code einzuschleusen und auszuführen (was auch sonst?). Der Angriff erfolgt über eine Website mit JavaScript- und SVG-Code darin. Während die Schwachstelle sowohl unter Windows als auch unter Linux und Mac OS X vorhanden ist, richtet sich der Exploit nur gegen Windows-Systeme.

Das stinkt!

Der eingeschleuste Code sendet IP- und MAC-Adresse des angegriffenen Systems an einen Server, was genau der Vorgehensweise entspricht, die das FBI in der Vergangenheit zur deanonymisierung von Tor-Nutzern angewendet hat. Und der eingeschleuste Code ist nahezu identisch.

Cyberkriminelle würden über einen 0-Day-Exploit sehr wahrscheinlich eine Backdoor, einen Bot oder ähnliches verbreiten. Was sollen die nur mit der IP- und MAC-Adresse ihrer Opfer anfangen? Die braucht man doch am ehesten, wenn man einen anonymen Benutzer identifizieren will.

Ob das FBI oder eine andere Strafverfolgungsbehörde hinter den Angriffen steckt ist nicht bekannt. Nachdem der Exploit aber nun allgemein bekannt ist werden die Cyberkriminellen kaum zögern, ihn ebenfalls einzusetzen. Und wie schon erwähnt werden die sich nicht mit dem Ausspähen der Adressen zufrieden geben.

Nach 4 Jahren der erste 0-Day für Firefox

Was auch auffällig ist: Es ist der erste 0-Day-Exploit für Firefox seit langem.

Von den bisher 10 (ohne diesem) 0-Day-Exploits in diesem Jahr waren lediglich zwei für einen Browser (den IE und Edge). Fünf waren für den Flash Player, zwei für die Microsoft Graphics Component und einer für Microsoft Office.

2005 gab es 18 0-Day-Exploits, drei davon waren für den IE. 2014 waren vier der 14 0-Day-Exploits für den IE, und 2013 sechs der 21 veröffentlichten 0-Day-Exploits.

Und um das ganz deutlich klar zu stellen: Weder 2013 noch 2014 oder 2015 gab es 0-Day-Exploits für den Firefox, ganz zu schweigen vom Tor-Browser. Da scheint es also wirklich jemand sehr gezielt auf Tor-Nutzer abgesehen zu haben.

Carsten Eilers