Es geht wieder los: Der erste kritische 0-Day-Exploit des Jahres ist da!
Er ist da: Der erste 0-Day-Exploit des Jahres 2015, über den sich Code einschleusen lässt. Wie schon 2014 macht der Flash Player den Anfang. Doch während die Angriffe im vorigen Jahr nur gezielt waren und erst mit der Veröffentlichung des Patches veröffentlicht wurden, ist der Exploit dieses Jahr in einen Exploit Kit enthalten, und einen Patch gibt es auch noch nicht.
Angler Exploit Kit mit 0-Day-Exploit für Flash Player
Der Sicherheitsforscher Kafeine hat eine Version des Angler Exploit Kit entdeckt, die neben zwei bereits bekannten Flash-Player-Exploits für bereits behobene Schwachstellen auch einen Exploit für eine bisher nicht bekannte Schwachstelle enthält.
Dieser 0-Day-Exploit funktioniert laut den Tests von Kafeine unter folgenden System-/Browser-/Flash-Player-Versionen:
- Windows XP, IE6 bis 8, Flash 16.0.0.257
- Windows 7, IE8 , Flash 16.0.0.257
- Windows 8, IE10 mit Windows8-RT-KB3008925-x86 (Flash 16.0.0.235)
- Windows 8, IE10 mit allen Updates (Flash 16.0.0.257)
Unter einem aktuellen Windows 8.1 versucht das Exploit-Kit den Exploit für eine bereits bekannte und behobene Schwachstelle zu starten, und auch auf Chrome wird der 0-Day-Exploit nicht los gelassen.
Update:
Inzwischen werden auch
Windows 8.1 mit IE 11
(und allen Patches) und der
Firefox
angegriffen.
Ende des Updates
Eingeschleust wird die Schadsoftware Bedep, die den Rechner entweder in ein Botnet integriert oder für Werbebetrug (AdFraud) genutzt wird.
Und was jetzt?
Adobe ist über den Exploit informiert und untersucht den Vorfall. Bei Symantec ist der Exploit ebenfalls bekannt, auch dort wird der Angriff untersucht.
Update:
Symantec
hat weitere Informationen veröffentlicht: Die meisten Angriffe wurden in
den USA und Großbritannien gemeldet, außerdem sind unter
anderen Australien und auch Deutschland betroffen.
F-Secure
hat erste Exemplare des Angler-Exploits am 20. Januar in den USA entdeckt,
allerdings stammen sie aus einer anderen "Infektionskette" als bei Kafeine.
In den USA wurden die meisten Angriffe registriert (83,6%). Weitere
Angriffe wurden aus Australien (9,07%), Taiwan (5,50%) und Großbritannien
(0,88%, genau so viel wie alle anderen Länder zusammen) gemeldet. Man geht
davon aus, dass die Exploits über bösartige Werbung (Malvertisements)
verbreitet werden.
Websense
kennt den Exploit auch, hat aber außer der üblichen
Marketingaussage, dass die eigenen Produkte davor schützen, nichts
zur Aufklärung bei zu tragen.
Ende des Updates
Da der Exploit Bestandteil eines Exploit-Kits ist kann er überall im
Web lauern. Potentiell ist also jeder gefährdet, der im Web surft.
Da es keinen Patch gibt, besteht der beste Schutz darin, den Flash Player
zu deinstallieren. Den braucht man sowieso nicht mehr wirklich. Die paar
Websites, die noch voll auf Flash bauen, sollten sich besser mal einen
Webentwickler suchen, der sich mit aktuellen Techniken auskennt und die
Site in HTML5 umsetzt.
Alternativ bieten Lösungen wie das in Chrome und Firefox
implementierte "Click to Play" oder entsprechende Plugins für andere
Browser, durch die der Flash Player nur startet, wenn der Benutzer es
erlaubt, einen gewissen Schutz.
Aber Vorsicht: Exploit-Kits lauern auch (wenn nicht sogar meist) auf
vertrauenswürdigen Websites. Wer dann vorschnell den Start erlaubt,
nur weil er der Website vertraut, fängt sich den Schadcode ein.
0-Day im Exploit Kit? Das ist ungewöhnlich!
Eigentlich werden 0-Day-Exploits ja erst mal im Rahmen gezielter Angriffe eingesetzt und erst, wenn sie dadurch dann bekannt werden, in den Exploit-Kits quasi "zweitverwertet". Ich wüsste ja gerne, wieso dieser Exploit sofort in einem Exploit-Kit auftaucht. Oder wurde der zuvor bereits für gezielte Angriffe verwendet, die nur noch nicht bekannt wurden?
Trackbacks
Dipl.-Inform. Carsten Eilers am : Adobe patcht Flash 0-Day-Schwachstelle (nicht die von heute morgen!)
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Adobe hat die aktuelle 0-Day-Schwachstelle gepatcht!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neuer 0-Day-Exploit im Umlauf - Der Flash Player gefährdet (mal wieder) Ihre Sicherheit!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Aktuelle 0-Day-Schwachstelle im Flash Player behoben
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Auch Adobe hat eine 0-Day-Schwachstelle gepatcht. Im Flash Player, so sonst?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein 0-Day-Exploit für den Flash Player zum Jahresabschluss
Vorschau anzeigen