Flash Player und 0-Day-Exploit - eine unendliche Geschichte
Es gibt (bzw. gab) schon wieder eine 0-Day-Schwachstelle im Flash Player. Im Unterschied zur vorigen 0-Day-Schwachstelle wurde diese schon innerhalb von 5 Tagen geschlossen. Aber immer der Reihe nach...
11.4. - 0-Day-Schwachstelle veröffentlicht
Am Montag, den 11.4.2011, hat Adobe ein
Security Advisory
veröffentlicht und vor einer 0-Day-Schwachstelle im Flash Player gewarnt,
die bereits für gezielte Angriffe
ausgenutzt wird.
Außer dem Flash Player sind auch wieder Adobe Reader und Acrobat
betroffen, die eine von der Schwachstelle betroffene Komponente,
Authplay.dll
, enthalten. Außerdem sind auch wieder die
Versionen für alle Betriebssysteme betroffen, Angriffe gibt es zumindest
bisher aber nur auf Windows-Systeme. Soweit, so schlecht, und üblich. Das
hatten wir ja oft genug, und eine Wette, dass das nicht die letzte
0-Day-Schwachstelle im Flash Player war, kann man ja wohl nur gewinnen.
Angriff über Word-Dokument
Nachdem bei der vorherigen 0-Day-Schwachstelle die Schwachstelle über per E-Mail an die potentiellen Opfer geschickte Excel-Dateien ausgenutzt wurde, dienen diesmal Word-Dateien als Träger, sonst ändert sich nichts. Möchte irgend jemand raten, was beim nächsten Mal dran ist? Ich tippe ja auf Powerpoint-Dateien.
Die präparierte Word-Datei wurde anfangs nur von einem der 42 von VirusTotal eingesetzten Virenscanner erkannt, inzwischen erkennen 26 von 41 Scannern die Schädlichkeit der Datei.
Der Analyse der Word-Datei(en) im Blog contagio zu Folge haben die Dateien verschiedene Namen:
-
Disentangling Industrial Policy and Competition Policy.doc
-
Japan Nuclear Weapons Program.doc
-
Message from Anne.doc
-
JOB_DESCRIPTION.doc
-
plan.doc
-
Response 2011.doc
Außerdem wurde laut contagio eine Excel-Datei mit dem Exploit mit dem Namen
namelist.xls
per E-Mail verschickt, und Trend Micro hat eine
Word-Datei mit dem Namen APRIL 2011.doc
entdeckt.
Laut Microsoft wurde außerdem Dateien mit den Namen
Fukushima .doc
und evaluation about Fukushima Nuclear
Accident.zip
(enthält eine .doc
-Datei) sowie zwei
.doc
-Dateien mit japanischen Schriftzeichen als Name
entdeckt.
Die Angriffsziele
Empfänger der Dateien waren laut contagio Personen, deren Name in der Wikipedia zu finden sind (von so einer Art von Wörterbuchangriff habe ich auch noch nie gehört), sowie "assistants of former high ranked politicians who are now working at global consulting companies". Da kann es sich also nicht um Deutsche handeln, denn hier gehen ja die Politiker selbst in die Unternehmen, die Assistenten verschwinden in der Versenkung. Auch Brian Krebs berichtet über Angriffe auf "select organizations and individuals that work with or for the U.S. government".
Ich bin ja mal gespannt, ob es diesmal wieder erfolgreiche Angriffe gab. Ob sich demnächst wieder jemand outet? Und was die betroffenen Unternehmen oder Personen wohl von Adobe halten? Google war ja ziemlich sauer, dass man im Rahmen der Operation Aurora einer 0-Day-Schwachstelle im Internet Explorer zum Opfer fiel, und hat daraufhin Windows aus dem Unternehmen verbannt.
Der Schadcode
Die Exploits scheinen nicht sehr zuverlässig zu sein, laut contagio gibt
es unterschiedliche Ergebnisse. Sie scheinen aber zumindest teilweise auch
unter Windows 7 mit Microsoft Office 2007 und aktivierter ASLR zu
funktionieren. Eingeschleust wird Code zum Öffnen einer Hintertür,
laut Microsoft
wird außerdem das für den Angriff verwendete Word-Dokument durch ein
enthaltenes "sauberes" Word-Dokument ersetzt, um den Angriff zu
vertuschen. Außerdem werden alle Prozesse mit dem Namen
hwp.exe
beendet.
Laut Avira enthalten die Word-Dateien keinen sinnvollen Inhalt, während von contagio eine Word-Datei mit Inhalt gezeigt wird. Die Erklärung dürfte das von Microsoft beschriebene Verhalten des Schadcodes sein: Anfangs enthält die Datei keinen sinnvollen Inhalt, sondern nur die eingebettete Flash-Datei, diese Version hat Avira gemeint. Nachdem der Schadcode ausgeführt wurde, wurde die ursprüngliche Word-Datei durch eine mit sinnvollem Inhalt ersetzt, die contagio zeigt.
Mir fällt gerade ein: Welchen Inhalt die für den Angriff auf RSA verwendeten Excel-Dateien hatten, wurde nicht veröffentlicht. Eigentlich ist der Inhalt der Trägerdatei ja auch völlig egal. Wichtig ist, dass die E-Mail, an die sie angehängt ist, das Opfer zum Öffnen der Datei bewegt. Danach tritt der Exploit in Aktion, die Trägerdatei ist dann für den Angreifer uninteressant. Ein halbwegs passender Inhalt erhöht allerdings die Wahrscheinlichkeit, dass das Opfer keinen Verdacht schöpft.
14.4. - Update für Google Chrome
Am 14.4.2011 hat Google ein Update für Chrome veröffentlicht, das u.a. die Schwachstelle in der enthaltenen Version des Flash Players behebt. Außerdem wurde noch drei kritische Schwachstellen im GPU-Code behoben, aber das tut hier nichts zu Sache. Ich habe mich ja immer gefragt, wie man so verrückt sein kann, sich freiwillig den Flash Player ins eigene Programm zu holen. Das Ding ist doch eine einzige Sicherheitslücke, und wirklich brauchen tut man den auch nicht. Aber ich glaube, jetzt weiß ich, wieso Google den integriert hat: So bekommen sie die Patches früher als alle anderen Browser. Aus Sicherheitssicht ist Chrome also in der Hinsicht im Vorteil. Ist es nicht schön, wie Adobe Sie im (Exploit-)Regen stehen lässt, wenn Sie Chrome nicht nutzen?
15.4. - Updates für den Flash Player
Am 15.4.2011 wurden dann die kurz zuvor angekündigten Updates für den Flash Player veröffentlicht. Updates für Adobe Reader und Acrobat (außer Adobe Reader X für Windows) wurden spätestens für die Woche ab den 25. April angekündigt. Also zwischen dem 22. und 25. brauchen sie die gar nicht erst zu veröffentlichen, ich glaube nicht, dass sich irgend jemand zwischen Karfreitag und Ostermontag für ein Update interessiert.
Das Update für den Adobe Reader X für Windows wird erst am regulären Patchday am 14. Juni erscheinen, da der aktuelle Exploit darin nicht funktioniert. Ich warte ja immer noch darauf, dass mal ein Cyberkrimineller einen Trick findet, den Protected Mode zu unterlaufen, und Adobe richtig alt aussehen lässt. Das wäre sonst das erste Adobe-Produkt ohne Schwachstelle, und das kann ich mir einfach nicht vorstellen.
Workarounds
Der beste Schutz vor Angriffen über den Flash Player besteht, wie von mir schon öfter erwähnt, darin, ihn zu löschen. Der nervt sowieso nur. Falls Sie ihn fürs Onlinebanking zwingend benötigen haben Sie Pech gehabt, wobei ich mich ja immer noch frage, wer sich das ausgedacht hat. Der muss garantiert für irgend einen Konkurrenten der die ChipTAN mit Flash-Zwang einführenden Banken arbeiten und bei denen eingeschleust worden sein. Falls demnächst Werbung für HBCI-Leser und -Software gemacht wird, hätte ich einen Verdächtigen...
Falls Sie den Flash Player behalten möchten, weil es nur damit so schöne bunte und nervende Werbung gibt, hat F-Secure einen guten Tipp: Wenn Sie die ActiveX-Version deinstallieren, können die Schwachstellen zumindest nicht mehr über die Office-Dateien ausgenutzt werden. Außerdem gibt es dann auch im Internet Explorer kein Flash mehr und Sie können sich davon überzeugen, wie viel entspannter das Surfen ohne ist. Falls Sie doch Flash-Seiten betrachten möchten (oder müssen, aufrichtiges Beileid!), können Sie z.B. Googles Chrome verwenden, da bekommen Sie dann die Patches auch gleich früher als für alle anderen Browser.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die Rückkehr des Exploit-Thursday
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein Text über fast nichts Neues zum Flash Player
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?
Vorschau anzeigen