Neue Flash 0-Day bringt Ransomware in Umlauf

Exploits für eine Zero-Day-Sicherheitslücke im Adobe Flash Player werden derzeit aggressiv über zwei Exploit-Packs verbreitet. Die Sicherheitslücke selbst wurde am Abend des 7. April, vor einer Woche also, gepatcht.

Eine Ausnutzung von CVE-2016-1019 in freier Wildbahn wurde bereits vor Veröffentlichung des Patches registriert; Cyberkriminelle benutzten diese 0-Day-Schwachstelle, um die Erpresserprogramme Locky und Cerber in Umlauf zu bringen. Dass Verschlüsselungsprogramme mit Hilfe von Exploit-Packs verbreitet werden, ist nichts Neues, doch im Fall von Locky, der bisher hauptsächlich via Spam ausgeliefert wurde, eröffnet sich eine zusätzliche Möglichkeit, diese schädliche Operation auszuweiten, die bereits das Gesundheitswesen erfasst hat.

Betroffen von der neuen 0-Day-Sicherheitslücke, die mit einer Verwirrung von Datentypen zusammenhängt, sind alle Versionen des Flash Player unter Windows 10 und niedriger. Das entsprechende Exploit wurde laut Proofpoint bereits den Exploit-Packs Nuclear und Magnitude hinzugefügt; das erste verbreitet Locky, das zweite bringt Cerber in Umlauf.

Neben der Schwachstelle CVE-2016-1019 schließt das von Adobe herausgebrachte Update auch zwei weitere Dutzend Sicherheitslücken, darunter auch zahlreiche Speicherkorruptions-Bugs sowie Use-after-free-Fehler, Typ Confusion, Pufferüberlauf und Umgehung des Schutzes.

Die angegriffene 0-Day-Sicherheitslücke kommentierend, weist Kevin Epstein, Vizepräsident des Threat Operations Center bei Proofpoint, darauf hin, dass die Zahl der potentiellen Opfer in die Millionen gehen könnte, doch das neue Exploit ist nur auf die veralteten Versionen des Flash Player ausgerichtet. „Das Interessante an der Verbreitung des Exploits liegt darin, dass die Angreifer das Exploit anscheinend nicht in vollem Umfang nutzen“, erklärte der Experte. „Es ist nicht klar, ob ihnen vollständig bewusst ist, was sie da in Händen halten. Es handelt sich um eine Zero-Day-Sicherheitslücke, aber das den Packs hinzugefügte Exploit zielt nur auf frühere Flash-Versionen ab. Sie haben ihre Zielgruppe also freiwillig eingeschränkt – warum, bleibt unklar.“

Wie dem auch sei, dieses Exploit ist jedenfalls bereits in Umlauf. Laut Epstein begann es am dritten April als Teil von Magnitude Cerber auszuliefern, das Verbreitungsschema Nuclear-Locky wurde unter seiner Mitwirkung bereits am 31. März in Gang gesetzt. Beide Exploit-Packs sind unter Cyberverbrechern nicht so populär wie Angler, doch trotzdem sind sie durchaus effektiv und erfreuen sich einer stabilen Nachfrage auf dem Schwarzmarkt. Für die Verbreiter von Locky, die täglich Millionen von schädlichen Mails versenden, ist das neue Flash-Exploit eine gute Möglichkeit die Zustellungsquote zu erhöhen.

Adobe hatte das Patch für CVE-2016-1019 schon anderthalb Tage vor Veröffentlichung angekündigt, um vor den laufenden Angriffen zu warnen. In der Warnmitteilung hieß es, dass das Exploit einen Absturz verursachen könnte und es Angreifern ermöglicht, willkürlichen Code auf einem angreifbaren System auszuführen. Wer bereits die am 10. März veröffentlichte Version Flash 21.0.0.182 installiert hat, muss dieses Exploit nicht fürchten, allen anderen wird geraten, Flash umgehend zu aktualisieren. Nach Angaben von Adobe greifen die Internetverbrecher derzeit nur Windows 7 und XP mit installiertem Flash der Version 20.0.0.306 und niedriger an.

„Die Natur dieser Schwachstelle ermöglicht es einem Angreifer, willkürlichen Code auf dem Zielrechner auszuführen. In diesem Fall macht es das Flash-Exploit möglich, willkürliche Befehle in konkrete Speicherzellen zu schreiben“, erläutert Epstein. „In dem untersuchten Fall definieren diese Befehle das Laden und die Ausführung der Ransomware.“

Nach Worten des Experten überprüft das neue Exploit lediglich, ob alte Flash Player-Versionen vorhanden sind, obwohl die Sicherheitslücke gegenüber allen Versionen angreifbar ist, abgesehen von der gerade erst veröffentlichten.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.