Neue 0-Day-Schwachstelle im Flash Player wird bereits ausgenutzt
In Adobes Flash Player gibt es mal wieder eine 0-Day-Schwachstelle, für die auch schon ein Exploit existiert. Und der wird bereits von Cyberkriminellen eingesetzt. Damit sind wir in diesem Jahr bei insgesamt sechs 0-Day-Exploits, fünf davon gehen auf die Kappe des Flash Players.
Außerdem gibt es noch eine 0-Day-Schwachstelle im Windows Kernel, aber die erlaubt "nur" eine Privilegieneskalation und wird zusammen mit der Schwachstelle im Flash Player ausgenutzt.
Die 0-Days des "Hacking Team"
"Hacking Team" ist ein italienischer Hersteller von Überwachungssoftware. Deren Rechner wurden vor kurzem kompromittiert und 480 GByte Daten kopiert und in Umlauf gebracht. Erst mal beweisen die, dass Hacking Team bei der Auswahl seiner Kunden nicht besonders wählerisch ist, jedenfalls stehen auch etliche Diktaturen auf den Listen mit Kunden. Aber das ist eine andere Geschichte. Hier geht es ja um 0-Days. Und auch die hat Hacking Team im Angebot. Gehabt, denn jetzt sind sie ja bekannt und damit wohl kaum noch zu verkaufen.
In den kopierten Daten wurden bisher drei Exploits entdeckt: Zwei für den Flash Player (eine der Schwachstellen, CVE-2015-0349, wurde bereits im April gepatcht) und einer für den Windows-Kernel. Einen der Flash-Exploits preist Hacking Team als "the most beautiful Flash bug for the last four years" an. Die Daten enthalten neben einer Beschreibung des Fehlers auch PoC-Code zum Öffnen des Taschenrechners und tatsächlichen Schadcode.
Die 0-Day-Schwachstelle im Flash Player
Die 0-Day-Schwachstelle im Flash Player hat die CVE-ID CVE-2015-5119 bekommen, der Exploit dafür ist bereits in mehreren Exploit-Kits enthalten und wird unter anderem zur Verbreitung von Ransomware genutzt.
Der Exploit kann unter anderen aus Chromes Sandbox ausbrechen, wofür der 0-Day-Exploit für den Windows-Kernel genutzt wird.
Nachtrag 20:00 Uhr
Analysen der Schwachstelle und des Exploits wurden von
den Bromium Labs
und dem chinesischen 360Vulcan Team (Übersetzungen via Google
Translate der Analyse
dieser Schwachstelle,
der
im April gepatchten Schwachstelle
und der
Schwachstelle im Windows Kernel)
veröffentlicht.
Es gibt auch bereits ein
Modul
für das Metasploit Framework, mit dem Sie testen können, ob ein Rechner
angreifbar ist oder nicht.
Trend Micro hat
herausgefunden,
dass der 0-Day-Exploit bereits seit dem 1. Juli für gezielte Angriffe
in Korea und Japan eingesetzt wurde. Da der Exploit damals noch nicht
veröffentlicht war, dürfte ein Kunde von Hacking Team der
damalige Angreifer sein.
Ende des Nachtrags
Adobe patcht die Schwachstelle
Adobe hat ein Security Advisory zur Schwachstelle veröffentlicht, betroffen sind alle Versionen des Flash Players bis einschließlich Version 18.0.0.194 für Windows, Mac OS X und Linux. Ein Patch wurde für den 8. Juli (vermutlich wohl Westküsten-Zeit der USA, Pacific Daylight Time, UTC-7) angekündigt.
Auf der Download-Seite für den Flash Player steht bereits Version 18.0.0.203 für Windows und Mac OS X bereit, die laut Adobes Security Bulletin nicht von der Schwachstelle betroffen sein sollte.
Nachtrag 20:00 Uhr
Adobe hat das
Security Bulletin
samt Updates
veröffentlicht.
Außer der 0-Day-Schwachstelle werden damit eine Vielzahl weiterer
kritischer Schwachstellen behoben.
Ende des Nachtrags
Die 0-Day-Schwachstelle im Windows-Kernel
Über die 0-Day-Schwachstelle im Windows-Kernel ist bisher wenig bekannt,
es gibt nicht mal eine CVE-ID. Die Schwachstelle
befindet sich
im Open Type Font Manager. Es handelt sich um einen klassischen
Pufferunterlauf, der zur Privilegieneskalation genutzt werden kann, da die
betroffene DLL ATMFD.dll
im Kernel-Modus läuft. Übrigens
stammt die DLL von Adobe. Einen Kommentar nach dem Motto "Ein Hersteller,
sie alle zu exploiten" dazu spare ich mir mal. Ups.
Nachtrag 15.7.2015:
Die Schwachstelle hat die CVE-ID
CVE-2015-2387
und wurde von Microsoft am Juli-Patchday
behoben
(Security Bulletin
MS15-077).
Ende des Updates
Trackbacks
Dipl.-Inform. Carsten Eilers am : Neue 0-Day-Exploits für Flash Player (2 Stück) und Java entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der Juli-Patchday war ein 0-Day-Patchday
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft patcht außer der Reihe 0-Day-Schwachstelle
Vorschau anzeigen