Dipl.-Inform. Carsten Eilers

Am 6. Dezember hat Adobe ein Security Advisory zu einer kritischen Schwachstelle in der U3D-Komponente von Adobe Reader und Acrobat veröffentlicht. Die Schwachstelle wird bereits im Rahmen gezielter Angriffe ausgenutzt und betrifft prinzipiell alle aktuellen Versionen für Windows, Mac OS X und Unix/Linux.

Angegriffen wird bisher aber "nur" der Adobe Reader 9.x für Windows, ein Update für diese Version von Adobe Reader und Acrobat für Windows wird für die laufende Woche erwartet. Da in Adobe Reader X der Protected Mode und in Acrobat X der Protected View die Ausführung eines Exploits verhindern sollen, wird ein Update für diese Versionen erst im Rahmen des nächsten regulären Patchdays am 10. Januar veröffentlicht. Dann sollen auch Updates für alle Mac- und Unix-Versionen veröffentlicht werden.

Frauen und KinderAngegriffene Systeme zuerst

Diese Taktik ist verständlich, man möchte die aktuell angegriffene Version/System-Kombination aus der Schusslinie nehmen. Dass dabei als Nebeneffekt die Mac- und Unix-Versionen fast einen Monat lang ungeschützt bleiben, nimmt man in Kauf. Vermutlich schätzt man das Risiko gering ein. Warum sollten die Cyberkriminellen auch einen Exploit für diese Schwachstelle für die Mac- oder Linux-Version entwickeln, einen von ihnen im Allgemeinen wenig beachteten "Markt"? Das kann natürlich auch ein Trugschluss sein, denn bisher wird die Schwachstelle ja im Rahmen gezielter Angriffe ausgenutzt, und da bestimmt das Ziel die Wahl der Mittel. Benutzt das Ziel einen Mac- oder Linux-Rechner, wird der Angriff eben auf dieses System ausgerichtet. Aber keine Panik, wer nutzt heutzutage denn noch den Adobe Reader? Vor allem auf dem Mac, auf dem die Vorschau PDFs anzeigen kann?

Aber warum die Eile bei der Windows-Version 9.x? Brad Arkin schreibt dazu:

"[...] We are conscious of the upcoming holidays and are working to get this patch out as soon as possible to allow time to deploy the update before users and staff begin time off. Ultimately the decision comes down to what we can do to best mitigate threats to our customers."

Also ich würde ja davon ausgehen, dass es im Fall von Adobe Reader und Acrobat ziemlich egal ist, ob auf dem Rechnern nun eine gepatchte oder ungepatchte Version installiert ist, wenn die Benutzer im Urlaub sind. Dann ist der Rechner ja wohl aus, und selbst wenn er nicht aus ist, kann ein z.B. per Mail zugeschickter Exploit ja wohl keinen Schaden anrichten. Oder werden irgendwo die Mailanhänge auch bei Abwesenheit des Benutzer automatisch geöffnet?

Und das Beste für die Kunden wäre es wohl, den Adobe Reader endlich sterben zu lassen oder ihn zumindest auf einen vernünftigen Umfang zu reduzieren. Über Emacs haben wir früher immer gelästert, dass er ein gutes Betriebssystem wäre, es würde nur ein guter Texteditor fehlen. Übertragen auf den Adobe Reader wäre der dann wohl ein gutes Betriebssystem, wenn er einen schlanken PDF-Viewer enthalten würde?

Nichts genaues weiß man nicht...

Aber kommen wir noch mal zu den wenigen bekannten Fakten. Die Schwachstelle hat die CVE-ID CVE-2011-2462 bekommen, im zugehörigen Eintrag gibt es bisher nur einen Verweis auf Adobes Security Advisory. Adobe bedankt sich darin bei "Lockheed Martin CIRT and members of the Defense Security Information Exchange" (DSIE) für die Meldung der Schwachstelle, zumindest Lockheed Martin dürfte also zu den Opfern der gezielten Angriffe gehören, evtl. auch weiter Unternehmen aus dem Rüstungsbereich. Die DSIE gibt keine Auskunft darüber, ob eines oder mehrere ihrer Mitglieder angegriffen wurden.

Einige weitere Informationen über die Angriffe gibt es im Blog von Symantec. Demnach wurden am 1. Dezember 5 E-Mails mit dem Exploit an ausgewählte Empfänger geschickt, gefolgt von 16 weiteren E-Mails am 5. Dezember (einem weiteren Eintrag zu Folge geschah dass schon am 1. und 5. November, aber das dürfte ein Fehler sein). Die Absender konnten zu vermutlich kompromittierten Rechnern in den USA (ein Mailserver, ein Webserver und eine nicht näher spezifizierte statische IP-Adresse) zurückverfolgt werden. Angegriffen wurden außer Unternehmen aus dem Rüstungsbereich ein Telekommunikationsunternehmen, ein Grosshändler, ein Hersteller von was auch immer, ein Unternehmen aus dem Bereich Computer-Hardware und ein Chemie-Unternehmen. Über weitere Angriffe berichtet Sophos.

Im contagio-Blog gibt es einige weitere Informationen zum Exploit, der zuerst von Brandon Dixon analysiert wurde. Der Schadcode schleust eine bereits seit längerem bekannte und auch zuvor über 0-Day-Schwachstellen eingeschleuste Hintertür ein, die von vielen Virenscannern erkannt wird. Laut einem Eintrag im Blog vom Symantec gehen die Angriffe mit dieser Sykipot genannten Hintertür bis ins Jahr 2006 zurück.

Deja vu?

Das kommt Ihnen bekannt vor? Sie denken, Sie haben ein Deja vu? Nein, durchaus nicht. Das ist wirklich alles schon bekannt, alles schon mal da gewesen. Nicht nur einmal, sondern viel zu oft. Z.B. mehrmals im letzten Jahr, sogar so wie jetzt zwei Schwachstellen in Adobe Reader/Acrobat und Flash Player in kurzer Zeit gab es sowohl im September als auch Ende Oktober/Anfang November 2010 schon mal. Da lohnt es sich wirklich nicht, das noch mal neu zu kommentieren, oder?

Und auch Lockheed Martin ist nicht das erste Mal Opfer eines Angriffs geworden: Z.B. wurde man dort im Sommer Opfer der ausgespähten Startwerte der SecurID-Token (und für den Angriff auf RSA zum Ausspähen dieser Daten wurde eine 0-Day-Schwachstelle im Flash Player genutzt, aber das führt jetzt doch etwas zu weit...)

Ach ja: Nicht immer trifft eine 0-Day-Schwachstelle im Adobe Reader auf so viel Interesse. Als Charlie Miller im Juli 2010 eine auf der Sicherheitskonferenz Black Hat USA vorgestellt hat, hat sich fast niemand dafür interessiert. Kein Wunder, da es so oft 0-Day-Schwachstellen mit Angriffen gibt, ist eine ohne Angriff ja nun wirklich nur eine Kuriosität am Rande.

Vorsicht bei Update-E-Mails!

Aus gegebenen Anlass noch eine Warnung: Wenn Sie eine E-Mail erhalten, in der ein Update für den Adobe Reader und/oder Acrobat angekündigt wird oder sogar enthalten ist, seien Sie misstrauisch - Cyberkriminelle verschicken zur Zeit entsprechende Mails, um Schadsoftware zu verbreiten! Den Trick kennen Sie ja vielleicht schon, früher waren immer angebliche Microsoft-Updates der Köder. Aber ebenso wie Microsoft verschickt auch Adobe keine Updates per E-Mail. Und das ist auch gut so, die würden garantiert jede Mailbox sprengen.

Zwei 0-Day-Schwachstellen im Flash Player

Die 0-Day-Schwachstellen im Flash Player wurden von Evgeny Legerov gemeldet. Ein in der kommerziellen Exploit-Sammlung VulnDisco SA enthaltener Exploit nutzt zwei Schwachstellen aus, um DEP/ASLR zu umgehen und funktioniert in Firefox, Chrome und Internet Explorer unter Windows 7 und Windows XP (Vista scheint wirklich kaum jemand zu nutzen, nicht mal Proof of Concepts werden dafür geschrieben). Eine Version für Mac OS X wurde angekündigt (oder angedroht?).

Details über die Schwachstellen sind nicht bekannt, sie wurden unter den CVE-IDs CVE-2011-4693 und CVE-2011-4694 registriert. Als Beweis für die Funktionsfähigkeit des Exploits wurde ein Video veröffentlicht (.mov-Datei, der Server ist aber zeitweise nicht zu erreichen), dass auch zeigt, wie mit dem White Phosphorus Exploit Pack ein Ausbruch aus der Sandbox des IE möglich ist. Adobe ist über den Exploit informiert, hat aber bisher auch keine weiterführenden Informationen erhalten und daher auch noch kein Advisory o.Ä. veröffentlicht.

Erst die Kohle, dann der Exploit

Evgeny Legerov ist für seine restriktive Informationspolitik bekannt. Details gibt es bei ihm nur gegen Geld, was z.B. die Mozilla Foundation im Februar 2010 feststellen durfte. Wenn Adobe wirklich ein Interesse am Exploit hat, dürfte es kein Problem sein, die Exploit-Sammlung zu kaufen. U.a. dafür ist sie ja da. Kostenlos wird Adobe aber kaum weitere Informationen erhalten. Ich bin gespannt, wann Adobe in die Tasche greift. Merken werden wir es, wenn ein entsprechendes Security Advisory veröffentlicht wird. Einen Patch brauchen wir wohl nicht zu erwarten: Da die Schwachstelle nicht für Angriffe ausgenutzt wird, dürfte der erst an einem der nächsten regulären Patchtermine veröffentlicht werden.

Wenn Sie denken, jetzt kommt mein übliches sinngemäßes "Im übrigen bin ich der Meinung, dass Flash abgeschafft werden sollte", haben Sie sich getäuscht. Sie wissen es ja bestimmt schon: Der Flash Player ist Gefährlich und Überflüssig und gefährdet Ihr Online-Banking!.

Carsten Eilers