Weitere Zero-Day-Lücke in Adobe Flash

Fast genau vor einem Monat veröffentlichten wir einen Blog mit einer Warnung vor einer Zero-Day-Lücke in Flash, die in gezielten Angriffen ausgenutzt wurde. Damals wurden schädliche SWF-Dateien in Microsoft Excel Dateien eingebettet. Excel diente dabei zweifellos als Verbreitungsvehikel.

In diesem Monat nun ist Microsoft Word an der Reihe. Die schädliche, von Brian Krebs referenzierte „.doc“-Datei weist eine Vielzahl an Gemeinsamkeiten mit der maliziösen XLS-Datei vom letzten Monat auf. Entweder handelt es sich bei dem Urheber also um ein und dieselbe Bande, oder die Angreifer haben sich zumindest von dem vorherigen Angriff inspirieren lassen.

Im Unterschied zu letztem Monat war in diesem Fall jedoch kein Poison Ivy Trojaner installiert. Bei dem neuen Angriff wurde ein Backdoor-Trojaner verwendet, der von manchen Entwicklern „Zolpiq“ genannt wird, wobei ihn die meisten jedoch mit irgendeiner generischen Bezeichnung qualifizieren würden.

Die Anzeichen, die auf das Vorhandensein von Zolpiq im System hinweisen, sind ein wenig diskreter als bei Poison Ivy. Dadurch lässt sich möglicherweise die Abkehr von dem verbreiteten Poison Ivy Kit erklären. Gestern haben wir eine Erkennungsroutine für diesen als Trojan-Dropper.Win32.Small.hgt identifizierten Backdoor in unsere Datenbank aufgenommen.

Generell haben unsere Kommentare vom letzten Monat immer noch Gültigkeit. Um diese gezielten Angriffe wirksamer bekämpfen zu können, müssten uns die Entwicklungsunternehmen eine Option zur Deaktivierung bestimmter Features an die Hand geben. Ich habe kein Interesse daran, mir eingebettete Flash-Dateien in Word- oder Excel-Dokumenten anzeigen zu lassen, und das sollten auch Sie nicht. Es existiert derzeit jedoch keine andere Möglichkeit, sich zu schützen, als die Deinstallation von Anwendungen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.