Skip to content

Es geht wieder los: Der erste kritische 0-Day-Exploit des Jahres ist da!

Geschrieben von Carsten Eilers am um 11:34

Er ist da: Der erste 0-Day-Exploit des Jahres 2015, über den sich Code einschleusen lässt. Wie schon 2014 macht der Flash Player den Anfang. Doch während die Angriffe im vorigen Jahr nur gezielt waren und erst mit der Veröffentlichung des Patches veröffentlicht wurden, ist der Exploit dieses Jahr in einen Exploit Kit enthalten, und einen Patch gibt es auch noch nicht.

Angler Exploit Kit mit 0-Day-Exploit für Flash Player

Der Sicherheitsforscher Kafeine hat eine Version des Angler Exploit Kit entdeckt, die neben zwei bereits bekannten Flash-Player-Exploits für bereits behobene Schwachstellen auch einen Exploit für eine bisher nicht bekannte Schwachstelle enthält.

Dieser 0-Day-Exploit funktioniert laut den Tests von Kafeine unter folgenden System-/Browser-/Flash-Player-Versionen:

  • Windows XP, IE6 bis 8, Flash 16.0.0.257
  • Windows 7, IE8 , Flash 16.0.0.257
  • Windows 8, IE10 mit Windows8-RT-KB3008925-x86 (Flash 16.0.0.235)
  • Windows 8, IE10 mit allen Updates (Flash 16.0.0.257)

Unter einem aktuellen Windows 8.1 versucht das Exploit-Kit den Exploit für eine bereits bekannte und behobene Schwachstelle zu starten, und auch auf Chrome wird der 0-Day-Exploit nicht los gelassen.

Update:
Inzwischen werden auch Windows 8.1 mit IE 11 (und allen Patches) und der Firefox angegriffen.
Ende des Updates

Eingeschleust wird die Schadsoftware Bedep, die den Rechner entweder in ein Botnet integriert oder für Werbebetrug (AdFraud) genutzt wird.

Und was jetzt?

Adobe ist über den Exploit informiert und untersucht den Vorfall. Bei Symantec ist der Exploit ebenfalls bekannt, auch dort wird der Angriff untersucht.

Update:
Symantec hat weitere Informationen veröffentlicht: Die meisten Angriffe wurden in den USA und Großbritannien gemeldet, außerdem sind unter anderen Australien und auch Deutschland betroffen.
F-Secure hat erste Exemplare des Angler-Exploits am 20. Januar in den USA entdeckt, allerdings stammen sie aus einer anderen "Infektionskette" als bei Kafeine. In den USA wurden die meisten Angriffe registriert (83,6%). Weitere Angriffe wurden aus Australien (9,07%), Taiwan (5,50%) und Großbritannien (0,88%, genau so viel wie alle anderen Länder zusammen) gemeldet. Man geht davon aus, dass die Exploits über bösartige Werbung (Malvertisements) verbreitet werden.
Websense kennt den Exploit auch, hat aber außer der üblichen Marketingaussage, dass die eigenen Produkte davor schützen, nichts zur Aufklärung bei zu tragen.
Ende des Updates

Da der Exploit Bestandteil eines Exploit-Kits ist kann er überall im Web lauern. Potentiell ist also jeder gefährdet, der im Web surft.
Da es keinen Patch gibt, besteht der beste Schutz darin, den Flash Player zu deinstallieren. Den braucht man sowieso nicht mehr wirklich. Die paar Websites, die noch voll auf Flash bauen, sollten sich besser mal einen Webentwickler suchen, der sich mit aktuellen Techniken auskennt und die Site in HTML5 umsetzt.

Alternativ bieten Lösungen wie das in Chrome und Firefox implementierte "Click to Play" oder entsprechende Plugins für andere Browser, durch die der Flash Player nur startet, wenn der Benutzer es erlaubt, einen gewissen Schutz.
Aber Vorsicht: Exploit-Kits lauern auch (wenn nicht sogar meist) auf vertrauenswürdigen Websites. Wer dann vorschnell den Start erlaubt, nur weil er der Website vertraut, fängt sich den Schadcode ein.

0-Day im Exploit Kit? Das ist ungewöhnlich!

Eigentlich werden 0-Day-Exploits ja erst mal im Rahmen gezielter Angriffe eingesetzt und erst, wenn sie dadurch dann bekannt werden, in den Exploit-Kits quasi "zweitverwertet". Ich wüsste ja gerne, wieso dieser Exploit sofort in einem Exploit-Kit auftaucht. Oder wurde der zuvor bereits für gezielte Angriffe verwendet, die nur noch nicht bekannt wurden?

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Adobe patcht Flash 0-Day-Schwachstelle (nicht die von heute morgen!)

Vorschau anzeigen
Adobe hat eine 0-Day-Schwachstelle im Flash Player gepatcht, die bereits für Angriffe ausgenutzt wird. Dabei handelt es sich nicht um die heute morgen gemeldete 0-Day-Schwachstelle im Flash Player, die wird noch untersucht. Die "neue" S

Dipl.-Inform. Carsten Eilers am : Adobe hat die aktuelle 0-Day-Schwachstelle gepatcht!

Vorschau anzeigen
Es gibt gute Neuigkeiten zur aktuellen 0-Day-Schwachstelle im Flash Player (die inzwischen die CVE-ID CVE-2015-0311 erhalten hat): Adobe hatte schon am 22. Januar ein Security Bulletin zur neuen Schwachstelle veröffentlicht und einen Patch

Dipl.-Inform. Carsten Eilers am : Aktuelle 0-Day-Schwachstelle im Flash Player behoben

Vorschau anzeigen
Adobe hat die aktuelle 0-Day-Schwachstelle im Flash Player behoben. Nach der Installation des Updates können Sie den Flash-Player wieder aktivieren, wenn es denn unbedingt sein muss. Sicherer sind Sie aber ohne ihn, da er dieses Jahr bei den

Dipl.-Inform. Carsten Eilers am : Auch Adobe hat eine 0-Day-Schwachstelle gepatcht. Im Flash Player, so sonst?

Vorschau anzeigen
OK, ich gebe zu, es hätte auch der Adobe Reader sein können. Aber bisher gab es dieses Jahr schon zwei 0-Day-Schwachstellen im Flash Player, die erste wurde im Januar bekannt, die zweite im Februar. Im März gab es keine, da war also

Dipl.-Inform. Carsten Eilers am : Ein 0-Day-Exploit für den Flash Player zum Jahresabschluss

Vorschau anzeigen
Adobe hat außer der Reihe ein Sicherheitsupdate für den Flash Player veröffentlicht. Oder genauer: Das Januar-Update vorgezogen, wie man an der Nummerierung des Security Bulletins (APSB16-01) leicht erkennen kann. Der Grund: Es gib