Dipl.-Inform. Carsten Eilers

Am 7. Februar hat Adobe ein außerplanmäßiges Security Bulletin für den Flash Player veröffentlicht, weil zwei 0-Day-Schwachstellen "in the wild" ausgenutzt werden.

Eine der beiden behobenen Schwachstellen wird im Rahmen gezielter Angriffe auf Windows-Benutzer über präparierte Word-Dokumente ausgenutzt, Ziel ist die ActiveX-Version des Flash Players für Windows. Die andere Schwachstelle wird sowohl über präparierte Word-Dateien mit Flash-Inhalten als auch über präparierten Websites ausgenutzt. Die Angriff über Websites richten sich gegen den Flash Player in Firefox und Safari für Mac OS X, die präparierten Word-Dateien sollen wieder Windows-Systeme kompromittieren. Eingeschleust wird unter anderem eine Backdoor, die Daten sammelt und Plugins nachladen kann.

Google hat sein Update für den integrierte Flash Player in Chrome mal wieder vor Adobes offiziellen Updates veröffentlicht (und das heimlich, still und leise, so dass es keiner gemerkt hat). Microsoft hat sein Security Advisory für den Flash Player im Internet Explorer 10 aktualisiert und Updates für Windows 8, Server 2012 und RT veröffentlicht. Dieses ständige Aktualisieren eines alten Advisories ist ziemlich suboptimal. Die erste Version erschien am 21. September 2012, aktuell ist Version 6.0. Man stelle sich mal vor, Microsoft würde das auch für andere Produkte machen!

Flash in Office-Dateien

Es ist nicht das erste Mal, dass Schwachstellen im Flash Player über Office-Dateien wie Word- oder Excel-Dokumente ausgenutzt werden, siehe zum Beispiel hier oder hier. Ich frage mich ja schon seit langem, was Flash-Inhalte in diesen Dateien zu suchen haben. Dazu zitiere ich mich mal selbst:

"... Wer ist bloss auf die Idee gekommen, Flash in Excel-Dateien zuzulassen? Wozu soll das denn gut sein? Eine Tabellenkalkulation mit Animationen drin? Welcher Witzbold hat sich das denn gewünscht? Und welcher Scherzkeks hat den Wunsch ernst genommen und genehmigt? Ich wüsste ja wirklich gerne, ob es dafür eine ernsthafte Anwendung gibt. Sachdienliche Hinweise können gerne unten in den Kommentaren eingegeben werden."

Excel und Tabellenkalkulation können Sie auch durch Word und Textverarbeitung ersetzen, der Text passt dann genau so.

Inzwischen sind wohl selbst Adobe Zweifel an der Daseinsberechtigung von Flash in Office-Dokumenten gekommen, jedenfalls ergreift man zusätzliche Schutzmaßnahmen. Bzw. kündigt sie erst mal für die nächste Version an. Dann wird nachgefragt, ob die Inhalte ausgeführt werden sollen.

Von diesem Schutz halte ich genau so viel bzw. wenig wie von "Click to play" für Browser-Plugins. Denn die Angreifer, die Office-Dokumente einsetzen, setzen auf Socal Engineering, und dann gehört es eben auch zum Angriff, den Benutzer zum Ausführen des Flash-Inhalts zu überreden. Im einfachsten Fall wird dann eben Flash benötigt, um die angeblich enthaltenen Nacktfotos des aktuellen Lieblings-Stars zu sehen etc..

Gezielte Angriffe

Über die Ziele der Angriffe ist wenig bekannt. Die AlienVault Labs berichten, dass verschiedene Industriebereiche, darunter Luft- und Raumfahrt, betroffen sind. Laut FireEye sind die dort entdeckten Word-Dateien mit dem Exploit in englischer Sprache, die Codepage aber "Windows Simplified Chinese (PRC, Singapore)". Das scheint auf die "üblichen Verdächtigen" für Angriffe auf US-Unternehmen hinzuweisen, falls es nicht eine absichtliche Fehlinformation ist.

0-Day-Exploits im Sonderangebot?

Was ist los, gab es 0-Day-Exploits irgendwo im Sonderangebot? Erst die 0-Day-Schwachstelle in Java und nun zwei im Flash Player, das ergibt die Anfangs erwähnten 3 0-Days für die ersten 6 Wochen des Jahres. Das von Oracle vorgezogene Java-Update korrigierte ebenfalls eine bereits ausgenutzte Schwachstelle, allgemein als 0-Day bekannt. Auch wenn es dazu bisher keine weiteren Informationen gibt sind wir dann schon bei 4 0-Day-Schwachstellen. Innerhalb von 6 Wochen! Wenn man ein Auge zudrückt oder den Zeitraum etwas ausdehnt und sich nicht auf 2013 beschränkt, kann man auch die 0-Day-Schwachstelle im Internet Explorer aus dem Dezember 2012 zur aktuellen Welle zählen - 5 0-Days in knapp 2 1/2 Monaten. Ich weiß nicht, ob wir so etwas schon mal hatten. Etwas Ähnliches hat zwar auf jeden Fall Stuxnet mit seinen 4 0-Days in einem Schädling geschafft, aber der ist eigentlich ein schlechter Vergleich.

Erinnern Sie sich noch an die "Month of ... Bugs"-Aktionen, die vor einigen Jahren von sich reden machten? Los ging es im Juli 2006 mit dem Month of Browser Bugs, es folgten der Month of Kernel Bugs (MoKB) (November 2006), der Month of Apple Bugs (Januar 2007), der Month of PHP Bugs (März 2007), der Month of Twitter Bugs (Juli 2009) und der Month of PHP Security (Mai 2010). Anscheinend haben die Cyberkriminellen diesen Ansatz mit einiger Verzögerung kopiert und 2013 zum "Year of 0-Day-Exploits" ernannt.

Wenn das so weiter geht, wird es ein sehr interessantes Jahr. Vor allem, wenn man bedenkt, dass die meisten Virenscanner beim Erkennen neuer Schädlinge eher bescheiden abschneiden. Meine allgemeine Skepsis gegenüber den Scannern dürfte bekannt sein. Die Frage ist, wie man gegen ständige Angriffe über 0-Day-Exploits effektiv vorgeht. Eine wirklich überzeugende Lösung dafür gibt es leider nicht. Am viel versprechendsten dürfte noch der Ansatz "Verkleinerung der Angriffsfläche" sein. Da die meisten Angriffe über das Java-Plugin im Webbrowser, den Flash Player und Adobe Reader erfolgen und man eigentlich keines dieser Programme wirklich braucht ist "Löschen" die einfachste Lösung, um es den Angreifern schwerer zu machen. Wann haben Sie das letzte Mal ihren Rechner entrümpelt? Es scheint Zeit für einen Frühjahrsputz zu werden...

Carsten Eilers