Ein Patch für den IE und ein Angriff auf Adobe
Heute im Angebot: Kommentare zur 0-Day-Schwachstelle im Internet Explorer und dem Angriff auf Adobe.
Patch für IE-0-Day-Schwachstelle in Sicht
Microsoft hat einen Patch für die aktuelle 0-Day-Schwachstelle im Internet Explorer für den morgigen Patchday angekündigt. Das wird auch Zeit, denn
- laut ThreatPost wurden mehrere populäre japanische Medien-Websites kompromittiert und mit dem 0-Day-Exploit präpariert,
- F-Secure berichtet über vereinzelte Angriffe in Taiwan,
- Kaspersky meldet die meisten Angriffe in Taiwan und Hong Kong (und färbt in der zugehörigen Weltkarte die USA rot ein? Oder ist das, weil die pleite sind? Wieso ist dann Griechenland nicht auch rot?) und
- FireEye berichtet, dass es außer "Deputy Dog" weitere drei separate Angriffswellen mit dem Exploit gibt.
Und da ein Exploit im Internet verfügbar ist, wird es nicht mehr lange dauern, bis die Cyberkriminellen ihn in ihre Exploit-Kits integrieren und er massenhaft auf kompromittierten Websites zum Einsatz kommt.
Adobe-Sourcecode auf den Servern von Cyberkriminellen
Adobe untersucht illegale Zugriffe auf den Sourcecode von Adobe Acrobat, ColdFusion, ColdFusion Builder und weiteren Programmen und betont dabei "Based on our findings to date, we are not aware of any specific increased risk to customers as a result of this incident." Das glaube ich denen sogar, denn sie selbst waren ja bisher auch nicht in der Lage, alle Schwachstellen zu finden, wie die ständigen Updates beweisen. Cyberkriminelle werden die Schwachstellen sicher auch nicht sofort finden. Aber wenn sie erst mal welche gefunden habe, wird es unangenehm. Und die Cyberkriminellen werden den Sourcecode, rund 40 GB, ja nicht aus Langeweile kopiert haben.
Leider verschweigt Adobe (aus guten Grund?) ob auch der Sourcecode von Adobe Reader und Flash Player kopiert wurde. Angriffe darauf wären deutlich gefährlicher als welche auf Acrobat. Acrobat ist auf deutlich weniger Rechnern installiert als die von den Cyberkriminellen sowieso schon gerne für Drive-by-Infektionen genutzten Adobe Reader und Flash Player.
Der Sourcecode wurde von Hold Security auf den Servern bekannter Cyberkrimineller gefunden. Dort erfährt man dann auch, dass der Adobe Acrobat Reader ebenfalls betroffen ist. Einige weitere Informationen liefert Brian Krebs, der mit Hold Security zusammengearbeitet hat. So erfährt man zum Beispiel, dass auch der Code bisher unveröffentlichter Acrobat-Komponenten kopiert wurde. Das könnte interessant werden - Exploits für Software, die noch gar nicht veröffentlicht ist, davon habe ich bisher noch nie gehört. Frei nach dem Rennen zwischen Hase und Igel ist der Exploit dann schon fertig, wenn die Acrobat-Komponente veröffentlicht wird.
Das bei Adobe außerdem auch noch die Daten von 2,9 Millionen Kunden kopiert wurden, fällt dem gegenüber kaum ins Gewicht. Daran ist man ja leider schon gewohnt. Interessant finde ich nur, dass die Daten nicht nur einfach kopiert, sondern teilweise auch gelöscht wurden. Ob da jemand gehofft hat, Adobe habe keine Backups? Auf ein paar Feinheiten in Adobes Ankündigung geht Paul Ducklin von Sophos ein. Wie immer muss man solche Ankündigungen nämlich mit einer gehörigen Portion Skepsis lesen.
Offen ist übrigens auch die Frage, ob die Angreifer den Sourcecode auf den Adobe-Servern vielleicht manipuliert haben. Wer Benutzerdaten kopiert und teilweise löscht, wird sich kaum mit einem einfachen Kopieren des Sourcecodes zufrieden geben.
Trackbacks