Dipl.-Inform. Carsten Eilers

Am 20. Februar hat Adobe Updates für den Flash Player für Windows, Mac OS X und Linux veröffentlicht. Für die damit behobene Double-Free-Schwachstelle CVE-2014-0502, die die Ausführung beliebigen Codes erlaubt, gibt es laut Adobe einen Exploit "in the wild". Die beiden außerdem behobenen Schwachstellen CVE-2014-0498 (eine Stacküberlauf-Schwachstelle, die die Ausführung beliebigen Codes erlaubt) und CVE-2014-0499 (ein Speicherleck, dass das Umgehen von ASLR erlaubt) werden demnach bisher nicht für Angriffe ausgenutzt.

13. Februar: FireEye entdeckt einen Exploit

FireEye hat den Exploit für die neue Schwachstelle am 13. Februar entdeckt und an Adobe gemeldet. Besucher der Websites von mindestens drei Nonprofit-Organisationen wurden im Hintergrund auf einen Server weiter geleitet, der den 0-Day-Exploit hostet. Zuerst wurde der Angriff auf der Website des "Peter G. Peterson Institute for International Economics" (www.piie.com) entdeckt, etwas später auch auf den Websites des "American Research Center in Egypt" (www.arce.org) und der "Smith Richardson Foundation" (www.srf.org). Das Peterson Institute und die Smith Richardson Foundation befassen sich mit Themen der Nationalen Sicherheit und Politik ("focus on matters of national security and public policy").

FireEye hat den Angriff "Operation GreedyWonk" genannt und vermutet einen Zusammenhang mit einem von der ShadowServer-Foundation entdeckten Angriff im Mai 2012.

Um die Address Space Layout Randomization (ASLR) zu umgehen werden Rechner mit den folgenden Konfigurationen angegriffen:

Windows XP

Angriff über Return-Oriented Programming (ROP) auf MSVCRT (Visual C Runtime) Gadgets mit festen Basis-Adressen für Englische ("en") und Chinesische ("zh-cn" und "zh-tw") Systeme

Windows 7 und Java 1.6

Angriff über ROP auf MSVCR71.dll (Visual C++ Runtime) aus Java 1.6

Windows 7 und einer veralteten Version von Microsoft Office 2007 oder 2010

Angriff über ROP auf HXDS.dll (Help Data Services Module), diese Schwachstelle wurde im Dezember 2013 behoben (MS13-106)

Windows XP sollte man sowieso nicht mehr nutzen, und Nutzer von Windows 7 sollten ggf. Java und/oder Microsoft Office auf die jeweils aktuellste Version updaten. Und das nicht nur, damit die aktuellen Angriffe ins Leere laufen, dafür sollte besser das Update für den Flash Player installiert werden, das die Schwachstellen darin endgültig behebt. Aber ein Update auf eine aktuelle Windows-, Java- und Office-Version verhindert, dass die aktuell genutzten Methoden zum Umgehen von ASLR von einem zukünftigen 0-Day-Exploit erneut erfolgreich genutzt werden können. Es wäre Ihnen doch sicher auch unangenehm, zum Opfer einer eigentlich längst behobenen Schwachstelle zu werden, oder?

Beim eingeschleuste Schadcode handelt es sich wie so oft um ein Remote Administration Toolkit (RAT), also eine Hintertür. Das Programm wurde erst am 12. Februar, also einen Tag vor Entdeckung der Angriffe, kompiliert. Wie schon im Fall der Hintertür für die aktuelle 0-Day-Schwachstelle im IE wurde der Schädling also speziell für den aktuellen Angriff angepasst.

Die Hintermänner des Angriff sind schon länger aktiv und haben bereits zuvor 0-Day-Exploits eingesetzt, um verschieden Schädlinge zu verbreiten. Dabei wurden immer die Websites von Organisationen aus dem Bereichen Nationale Sicherheit, Verteidigung und weiteren "non-profit sociocultural issues" kompromittiert. Woraus zu schließen ist, dass er mit ziemlicher Sicherheit weitere entsprechende Angriffe geben wird.

Carsten Eilers