Adobe stellt Patch für zweite Zero-Day-Schwachstelle in Flash via Auto-Update bereit

Am Sonnabend begann Adobe eine Zero-Day-Lücke im Flash Player zu stopfen, und zwar diejenige, die erst vor kurzem in das Exploit-Pack Angler aufgenommen worden war. Das ist bereits das zweite kritische Patch im Laufe der letzten Tage für dieses Produkt. Am letzten Donnerstag gab Adobe ein Notfall-Patch heraus, das eine bis dahin unbekannte angegriffene Sicherheitslücke beseitigt, die die Umgehung des Windows-Schutzes ermöglicht.

Die zweite geschlossene Sicherheitslücke, CVE-2015-0311, wurde von dem Franzosen Kafeine entdeckt, der für seine Forschungen über Exploit-Packs und andere Schädlinge bekannt ist, die zur Durchführung zielgerichteter Attacken und anderer krimineller Akte eingesetzt werden. Dieser Bug betrifft die Flash-Versionen 16.0.0.287 und niedriger, die unter Windows und Mac OS X laufen. Nach Aussage von Adobe wird diese Lücke bereits aktiv im Rahmen von Drive-by-Attacken gegen Internet Explorer und Firefox ausgenutzt, die unter Windows 8.1 und niedriger laufen.

„Die erfolgreiche Ausnutzung kann zu einem Absturz führen und es dem Angreifer im Folgenden ermöglichen, sich die Kontrolle über das verwundbare System zu verschaffen“, schreibt der Entwickler in einer Informationsschrift.

Das entsprechende Patch wird bisher über den Auto-Update-Mechanismus im Flash Player verbreitet, das auf dem Desktop läuft. Eine neue, korrigierte Produktversion wurde mit der Nummer 16.0.0.296 veröffentlicht. In dem Sicherheitsbulletin heißt es zudem: „Adobe plant ein Update zum manuellen Download im Lauf dieser Woche bereitzustellen; wir arbeiten außerdem mit unseren Vertriebspartnern zusammen, um ein Update für Google Chrome und den Internet Explorer der Versionen 10 und 11 zu gewährleisten.“

Neue Meldungen gibt es auf der Website des Entwicklers bisher nicht. „Um genau zu sein, listet Adobe bis heute 16.0.0.287 als die neuste Version“, erklärt Johannes Ullrich, IT-Sicherheitsexperte vom SANS-Institut. „Die Version 16.0.0.296 kann man downloaden, wenn man manuell über Flash nach Updates sucht.“

Dass CVE-2015-0311 nun auch Einzug in die Exploit-Sammlung Angler gehalten hat, ist überaus beunruhigend, da das die Erfolgsmöglichkeiten der Angreifer bis zur Verfügbarkeit eines Patches erhöht. Tröstlich ist allein die Tatsache, dass das neuste Exploit laut Kafeine bei weitem nicht in allen Angler-Versionen enthalten ist. In der vergangenen Woche erklärte der Experte auf Twitter, dass die hinter dieser Exploit-Sammlung stehende Gruppe Veränderungen im Code vorgenommen und nun die Möglichkeit habe, Firefox anzugreifen sowie einen vollständig gepatchten IE 11 unter Windows 8.1. Zum gegenwärtigen Zeitpunkt wird dieses Flash-Exploit für den Download von Bedep eingesetzt – ein Schädling, der Internet-Kriminellen zu illegalen Einnahmen mit Online-Werbung verhilft.

Die Experten von Cisco erwarten unterdessen, dass die Tendenz zur operativen Ausnutzung von Flash 0-Day-Sicherheitslücken weiterhin aktuell bleibt. „Diese Gruppe integriert solche Exploits noch vor Veröffentlichung der Bugs selbst in das Exploit-Pack Angler“, betonen die Wissenschaftler in einem Bericht von Cisco im Blog des Unternehmens. „Bedenkt man, dass diese Zero-Day-Exploits zusammen mit der Lieblingsverbreitungsmethode von Angler, Malvertising, eingesetzt werden, so gewährleisten sie ein noch größeres Potential zur umfassenden Kompromittierung.“

Gemäß Beobachtungen von Cisco richtet sich das Flash-Exploit in Angler ausschließlich gegen IE und Firefox, für Chrome werden andere Arten von Exploits eingesetzt. Die Zahl der Angriffe unter Verwendung von Angler ist am 20. Januar drastisch gestiegen.

„Obgleich diese Spitze eine mit der Aktivität von Angler zusammenhängende Zunahme zeigt, entfällt auf diese Angriffe nur ein kleiner Teil des schädlichen Traffics“, heißt es weiter in dem Cisco-Bericht. „Mittels unserer telemetrischen Daten konnten wir die Domains identifizieren, von denen die Verteilung neuer Exploits erfolgt; beinahe alle werden mit ein und demselben Registrator assoziiert. Es scheint, als wären die Angreifer in erster Linie an einer schnellen Registrierung und einer Ausnutzung mit hoher Rotation der Domains interessiert. Trotz des häufigen Wechsels der Domains verwenden die Cyberkriminellen insgesamt nur zwei primäre IP-Adressen (46[.]105.251.7 und 94[.]23.247.180).“

Nach Angaben von Cisco beträgt die Lebensdauer dieser Exploit-Domains 24 Stunden und die Betreiber von Angler registrieren Tag für Tag neue.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.