Dipl.-Inform. Carsten Eilers

Damit führt der Flash Player die Liste mit den 0-Day-Exploits des Jahres 2015 wohl für einige Zeit unangefochten an: 7 (in Worten: Sieben!) 0-Day-Exploits waren dieses Jahr schon für den Flash Player im Umlauf. Zum Vergleich: 2013 gab es 5 und 2014 4 0-Day-Exploits für den Flash Player.

Die aktuellen Flash-Schwachstellen: CVE-2015-5122 ...

Die Schwachstelle mit der CVE-ID CVE-2015-5122 ist eine Use-after-Free-Schwachstelle im Zusammenhang mit den Methoden TextBlock.createTextLine() und TextBlock.recreateTextLine(textLine) und erlaubt die Ausführung beliebigen Codes.

Der PoC aus den Daten von Hacking Team öffnet "nur" den Taschenrechner. Es dürfte den Cyberkriminellen aber nicht besonders schwer gefallen sein, den PoC zu einem Schadcode einschleusenden Exploit zu erweitern. Denn der Exploit ist bereits Bestandteil mindestens eines Exploit-Kits.

Der PoC stammt laut FireEye vom gleichen Autor wir der für die vorherige 0-Day-Schwachstelle. Was aber nicht unbedingt verwunderlich ist, immerhin stammen beide PoCs aus dem Daten, die bei Hacking Team kopiert wurden.

... und CVE-2015-5123

Adobe hat ein Security Advisory für den Flash Player veröffentlicht und darin CVE-2015-5122 beschrieben. Das Advisory wurde kurz darauf erweitert, um eine weitere Schwachstelle anzukündigen: CVE-2015-5123.

Betroffen sind wieder die Versionen für Windows, Mac OS X und Linux, diesmal bis einschließlich Version 18.0.0.204. Ein Patch wurde für die laufende Woche angekündigt.

Die zweite Schwachstelle betrifft laut Trend Micro das Objekt BitmapData. Während Adobe von Angriffen schreibt, sind Trend Micro bisher keine ausgefallen. Vermutlich wurde der Exploit also bisher nur im Rahmen gezielter Angriffe durch Hacking-Team-Kunden eingesetzt. Wie bei den anderen Schwachstellen dürfte es aber auch hier nicht lange dauern, bis der Exploit den Weg in die Exploit-Kits schafft.

Die Java-Schwachstelle

Der 0-Day-Exploit für Java wurde von Trend Micro entdeckt. Er wird von der APT-Gruppe "Pawn Storm" für gezielte Angriffe auf die NATO und das Weiße Haus genutzt.

Die Schwachstelle betrifft nur Version 1.8.x (konkret 1.8.0.45), nicht aber Java 1.6 und 1.7. Wie üblich erlaubt sie die Ausführung beliebigen Codes. Oracle wurde über die Schwachstelle informiert, bisher gibt es aber noch keine CVE-ID.

Update 15.7.2015

Die Schwachstelle hat die CVE-ID CVE-2015-2590 erhalten. Oracle hat sie im Rahmen des regulären Oracle Critical Patch Update für Juli 2015 behoben.

Trend Micro hat eine Analyse des Angriffs und des Exploits veröffentlicht. Der Angriff beginnt mit einer E-Mail, die das Opfer auf eine Webseite lockt, auf der dann der Exploit im Rahmen einer Drive-by-Infektion zum Einsatz kommt. Darüber wird dann ein Downloader und von dem eine Hintertür installiert. Ziel der Angriffe waren Unternehmen aus dem Verteidigungssektor ("big defense contractors") in den USA und/oder Kanada.

Ende des Updates

Und nun?

Wie üblich ist mein erster Rat: Deinstallieren Sie den Flash Player, der gefährdet nur ihr System. Ich wette ja prinzipiell nicht, aber zur Zeit dürften Wetten auf das Auftauchen weiterer 0-Day-Exploits in den Hacking-Team-Daten ziemlich sicher sein.

Wenn Sie ihn unbedingt weiter nutzen wollen, aktivieren Sie wenigstens "Click to Play" oder die entsprechende Funktion ihres Browsers oder Nutzen Sie ein entsprechendes Plug-In. Und seien Sie ganz, ganz Vorsichtig, wenn Sie irgendwo Flash erlauben. Auch eigentlich harmlose Websites können kompromittiert sein oder präparierte Werbung enthalten. Wenn Sie dann unbedacht die Ausführung von Flash erlauben, ist Ihr Rechner danach infiziert.

Java wird im Browser ja sowieso nur noch nach Ihrer Zustimmung ausgeführt. Hier gilt das gleiche wie für Flash: Seien Sie vorsichtig, was sie da erlauben!

Carsten Eilers