Skip to content

Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe

Es gibt weitere Informationen zur 0-Day-Schwachstelle in Microsoft Graphics, die über präparierte Word-Dateien ausgenutzt wird. Und die sind sehr interessant, denn es könnte sich ein neuer Trend für 0-Day-Angriffe herauskristallisieren.

Eine 0-Day-Schwachstelle, mindestens zwei Angriffe

Nachdem anfangs nur bekannt war, dass die von McAfee und Microsoft beobachteten Angriffe im Mittleren Osten und Südasien statt fanden, gibt es inzwischen genauere Angaben:

Laut Symantec und AlienVault gehören die dort entdeckten Payloads zur "Operation Hangover". Diese Angriffe gehen (vermutlich, im Internet kann man sich ja nie sicher sein, einen Angriff wirklich bis zum eigentlichen Urheber zurück verfolgt zu haben) von Indien aus und haben vor allem Sicherheitsbehörden in Pakistan zum Ziel, es kommt aber auch zur Industriespionage in anderen Staaten. Der Exploit installiert eine Backdoor, einen Keylogger und weitere Spyware.

Auch FireEye hat Angriffe im Rahmen der "Operation Hangover" beobachtet, zusätzlich wurden aber auch Versuche beobachtet, über diesen Exploit den Citadel-Trojaner zu verbreiten. Der Citadel-Trojaner ist eine Variante des Onlinebanking-Trojaners und Multitalents Zeus und wurde nach dessen Veröffentlichung im Internet entwickelt.
Verantwortlich für diese Angriffe ist die von FireEye so genannte "Arx Group", die den Exploit vermutlich vor den Hangover-Entwicklern eingesetzt hat. Zumindest deutet alles darauf hin, dass der von der "Arx Group" eingesetzte Schadcode bereits vor dem der "Operation Hangover" aktiv war. Auch diese Angriffe richten sich überwiegend gegen Ziele in Indien (63 Prozent) und Pakistan (19 Prozent).

Abgesehen vom Ziel der Angriffe unterscheiden sich die Exploits noch in einem anderen interessanten Punkt: Der Exploit der "Arx Group" kann über Return-Oriented Programming die Data Execution Prevention (DEP) umgehen, während der der der Hangover-Entwickler davon gestoppt wird. Zumindest der, den FireEye analysiert hat. Denn McAfee hat einen Exploit der "Operation Hangover" untersucht, der die DEP über eine Funktion zur Backward-Kompatibilität in Office 2007 ausschaltet und danach den eingeschleusten Code ausführen kann.

Ein neuer Trend?

Das ist jetzt das zweite Mal in kurzer Zeit, dass ein 0-Day-Exploit parallel sowohl für gezielte (Spionage-)Angriffe als auch für die Verbreitung "normaler" Schadsoftware eingesetzt wird: Auch die Anfang September entdeckte 0-Day-Schwachstelle im Internet Explorer wurde für zwei Angriffe verwendet. Zum aktuellen 0-Day-Exploit für den IE gibt es ja noch keine entsprechenden Informationen. Vielleicht ist das ja auch ein "Dual Use"-Exploit, denn FireEye konnte inzwischen eine Verbindung zur "Operation DeputyDog" feststellen - und damit zur 0-Day-Schwachstelle aus dem September.

Das ist sehr ungewöhnlich, normalerweise werden 0-Day-Exploits anfangs nur für einen Angriff eingesetzt. Im Allgemeinen im Rahmen eines gezielten Angriffs, oft eines Advanced Persistent Threats. Was verständlich ist, da 0-Day-Exploits teuer sind, und die "staatlich gesponserten" Hintermänner der APTs wohl mehr Geld zur Verfügung haben als die Cyberkriminellen. Außerdem ist der 0-Day-Exploit bei allgemeinen Angriffen schnell "verbrannt" - der betroffene Hersteller erfährt sehr schnell von den Angriffen und kann einen Patch für die ausgenutzte Schwachstelle entwickeln. So lange die Cyberkriminellen auch mit Exploits für ältere, längst behobene Schwachstellen genug Opfer finden besteht für sie eigentlich kein Grund, auf 0-Days zu setzen.

Warum gibt es nun diese Änderung der Taktik? Oder hatte da zwei Mal der Zufall seine Finger im Spiel und Cyberkriminelle und "staatlich gesponserte" Angreifer haben die Schwachstellen zufällig parallel entdeckt und ausgenutzt? Generell ist das nicht unmöglich. Ebenso, wie Cyberkriminelle und seriöse Forscher eine Schwachstelle parallel entdecken und ausnutzen bzw. an die Entwickler melden können, können natürlich auch zwei Parteien der "dunklen Seite" eine Schwachstelle parallel entdecken und ausnutzen. Aber so gehäuft (wenn man bei 2 Fälle in 2 Monaten schon von einem Haufen sprechen kann) wäre das doch auffällig viel Zufall.

Deutet sich da also ein neuer Trend an? Verkauft eine Partei die eigenen 0-Day-Schwachstellen an die andere? Und wenn ja: Verkaufen die Cyberkriminellen sie an die Geheimdienste und Co., oder geht der Handel anders rum? In diesem Fall scheinen ja die Cyberkriminellen den Exploit zuerst eingesetzt haben, aber das könnte auch ein Beobachtungsfehler sein. Es ist ja nicht gesagt, dass wirklich jeder gezielte Angriff entdeckt wird. Es könnte also auch sein, dass der Exploit von der "Operation Hangover" zuerst eingesetzt wurde, aber nirgends Spuren hinterlassen hat oder diese Spuren nicht entdeckt wurden. Und für die Geheimdienste könnte es durchaus interessant sein, wenn ihre Exploits auch von normalen Cyberkriminellen eingesetzt werden. Mit etwas Glück fallen die gezielten Angriffe dann nicht so sehr auf und gehen in den "normalen" Angriffen unter.

Ich bin ja mal gespannt, wie sich das in Zukunft entwickelt. Verbindungen zwischen Cyberkriminellen auf der einen und Geheimdiensten und Co. auf der anderen Seite würde mich nicht mehr gross verwundern. Dank der NSA wissen wir ja inzwischen, dass man denen nicht nur wirklich alles zutrauen darf, sondern dass sie auch Bedenkenlos noch weiter gehen, wenn sie die Möglichkeit dazu haben.

Welche Systeme sind betroffen?

Noch kurz ein Hinweis darauf, auf welchen Systemen die betroffene GDI+ Komponente installiert ist. Microsoft hat das noch einmal klargestellt:

  1. Microsoft Office
    • Office 2003 und Office 7 sind unabhängig vom verwendeten Betriebssystem betroffen.
    • Office 2010 ist betroffen, wenn es auf Windows XP oder Windows Server 2003 installiert ist. Installationen auf Windows Vista und neueren Systemen sind nicht betroffen.
    • Office 2013 ist nicht betroffen, egal auf welchem System es installiert ist.
  2. Windows
    • Windows Vista und Windows Server 2008 enthalten die betroffene Komponente.
    • Andere Versionen von Windows sind nur betroffen, wenn eine betroffene Version von Microsoft Office oder Lync installiert sind.
  3. Lync
    • Alle unterstützten Versionen von Lync sind betroffen.

Angriffe sind außer über präparierte Office-Dateien auch zum Beispiel über präparierte Webseiten möglich, zur Zeig gibt es laut Microsoft aber nur Angriffe auf/über Office 2007 unter Windows XP.

Ach ja: Microsoft Office für den Mac ist natürlich nicht betroffen. Die Schwachstelle befindet sich in einer Komponente von Microsoft Graphics / GDI+, und das findet man auf dem Mac höchstens in der Bootcamp-Installation von Windows oder in einer virtuellen Maschine mit Windows, nicht aber unter Mac OS X.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits

Vorschau anzeigen
Das Jahr ist bald vorbei, in einer Woche ist Weihnachten, in zwei Wochen ist Sylvester. Wenn nichts dazwischen kommt (also diese Woche nicht zum Beispiel ein weiterer 0-Day-Exploit auftaucht) wird dies der letzte "Standpunkt" für 2013 sein. Da