Der lange Abschied von Flash

Wenn innerhalb der IT-Sicherheitscommunity überhaupt zu irgendeinem Thema Einmütigkeit herrscht, so ist es zumindest die negative Einstellung gegenüber dem Adobe Flash Player. Kaum eine APT- oder Exploit-Kampagne, die keine Sicherheitslücke in diesem populären Produkt ausnutzt, um geistiges Eigentum, Industriegeheimnisse, Passwörter und Kreditkartendaten zu stehlen. Diese schon ewig andauernde Situation stellt die Geduld der „ITler“ auf die Probe, daher sind auch die immer häufiger laut werdenden Rufe nicht verwunderlich, den Flash Player endlich auf dem Müllhaufen der Geschichte zu entsorgen.

„Flash ist ein anschauliches Beispiel für das Problem, das auftreten kann, wenn veralteter Code sich sehr lange in einer App hält“, erklärte Cody Pierce, Leiter der Abteilung für Sicherheitslückenforschung und Prävention bei Endgame. „Flash stellt Anwendern eine reiche Entwicklungsumgebung bereit, doch das Streben nach Ausweitung der Möglichkeiten zieht unweigerlich eine Minderung der Zuverlässigkeit nach sich. In solche Fällen muss man – ob man will oder nicht – veraltete Dateiformate unterstützen, was zu einer Situation führt, in der Cyberkriminellen eine praktisch unbegrenzte Angriffsplattform geboten wird: Video, Audio, Bilder, verschiedene Protokolle und mit ActionScript eine wirklich reiche Skriptsprache. Das sind fix und fertige Möglichkeiten zur Ausnutzung von und Suche nach Sicherheitslücken.“

In der vergangenen Woche unternahm Adobe die ersten kleinen Schritte weg von Flash und hin zu HTML5 – möglicherweise könnten das für Flash die ersten Takte des eigenen Schwanengesangs sein. Der Softwareentwickler kündigte an, Flash Professional CC in Animate CC umzubenennen, das zu Beginn des kommenden Jahres veröffentlicht wird; Adobe schreibt ihm die Rolle seines wichtigsten Tools zur Entwicklung von HTML5-Content zu. „Unsere Kunden haben uns klar zu verstehen gegeben, dass sie eine Perfektionierung des Pakets Creative Suite durch die Erweiterung der Liste der unterstützten Standards erwarten, und wir sind bereit, diesen Bedarf zu befriedigen“, erklärten Vertreter des Unternehmens in ihrer Pressemitteilung.

Das Unternehmen will Flash nicht sofort ausmustern und gibt weiterhin Patches und Updates der Funktionalität heraus und arbeitet auch nach wie vor mit den Anbietern der Browser von Microsoft, Mozilla und Google zusammen, um die Sicherheitsrisiken zu minimieren. Trotzdem erwarten die Experten, dass die Entscheidung von Adobe angesichts der riesigen Menge veralteter Apps und veralteten Web-Contents, die auf Flash basieren, eine gewisse Resonanz haben wird.

„Die wichtigste Botschaft dieser Erklärung liegt darin, dass sich die Situation noch lange nicht ändern wird“, kommentiert Mike Hanley, Leiter der Abteilung Forschung und Entwicklung bei Duo Security. „Im besten Fall ist das eine Bestätigung dafür, dass Flash die Rolle als dominierende Internet-Plattform verlieren wird, doch ohne klare Pläne und Regelungen zur Abschaffung dieser Plattform werden viele veraltete Anwendungen sowie veralteter Web-Content auch in Zukunft auf von vornherein so problembehafteten Plattformen wie Flash fußen, um weiterhin ein so großes Publikum wie möglich für sich zu gewinnen.“

So lange bleibt Flash ein Leckerbissen für Cyberkriminelle jeglicher Couleur. Adobe flickt es Monat für Monat, regelmäßige Patches werden zu Dutzenden herausgegeben, auch die außerordentlichen Updates werden auf Grund von 0-Day-Schwachstellen immer häufiger. Ein solcher Fall ereignete sich im vergangenen Sommer, als entdeckt wurde, dass ein bekannter Softwarehändler schon seit Langem zu Überwachungszwecken einige Zero-Day-Sicherheitslücken in Flash ausnutzte, und gar nicht daran dachte, Adobe über diese Lücken in Kenntnis zu setzen. Dabei ist Hacking Team nicht das einzige Unternehmen, das versucht, seinen Nutzen aus den Schwächen von Flash zu ziehen. So erklärte der jüngste VUPEN-Spross Zerodium, dass das Unternehmen bereit sei, zwischen 50.000 und 80.000 Dollar für neue, unbekannte Sicherheitslücken in Flash zu zahlen.

„Unter Berücksichtigung der Tatsache, dass eine riesige Zahl von Usern noch immer angreifbare Mediaplayer benutzt, steht Cyberkriminellen immer ein Universalvektor zum Eindringen in die Systeme der Nutzer zur Verfügung“, unterstreicht Nick Buchholz, leitender Experte für Netzwerksicherheit bei Damballa. „Die Erklärung von Adobe
kann die Entwicklung von Exploits für Flash nicht aufhalten, sie werden noch eine lange Zeit genutzt werden und die Nachfrage nach diesen Machwerken der Virenschreiber wird kaum nachlassen.“

Während Adobe weiterhin für die gute Sache kämpft, haben Google und Mozilla bereits Maßnahmen ergriffen, um den automatischen Download und Start von Exploits in den Browsern Chrome und Firefox zu unterbinden. „Ich glaube, dass die Drittunternehmen und Arbeitsgruppen, deren Nutzer am häufigsten mit Exploits für Flash Probleme haben, die allmähliche Abkehr von Flash am stärksten vorantreiben werden“, vermutet Hanley und repräsentiert damit den Standpunkt von Duo.

Den Reaktionen der Experten nach zu urteilen, ist also zu erwarten, dass Hacker weiterhin die Plattform übergreifenden Lösungen in der Art von Flash und Java bevorzugen werden. Ein solches Exploit wird einmal geschrieben und kann dann bei der Arbeit an unterschiedlichsten Fronten eingesetzt werden, beispielsweise ist es in der Lage, ein schädliches Flash-Objekt in ein Office-Dokument einzuschleusen und es via Spam oder Phishing-Mails zu verbreiten.

„Ich bin mir sicher, dass Flash ein attraktives Ziel für Cyberkriminelle ist, da es alle Browser und Plattformen unterstützt“, fasst der IT-Sicherheitsexperte Craig Young von Tripwire zusammen. „Die Möglichkeit, Code auf Client-Systemen auszuführen, stellt einen bedeutenden Angriffsvektor bereit, wie man am Beispiel von Java, ActiveX
und JavaScript sehen kann. Flash herrscht traditionell auf vielen Browsern und Plattformen vor, was die Effektivität eines Exploits erhöht.“

„Es ist zu erwarten, dass Flash noch viele Jahre lang eine breite Anwenderbasis behält und daher auch ein unangenehmer Stachel der Endpoint-Sicherheit bleiben wird“, fährt Young fort. „Möglicherweise gelingt es einigen Sites und Services, Flash schnell durch HTML5-Content zu ersetzen, allerdings wird Flash selbst unverändert ein brauchbarer Angriffsvektor bleiben, solange populäre Browser die Plattform weiter unterstützen.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.