Eine weitere Zero-Day-Sicherheitslücke in Adobe Flash entdeckt
Cyberkriminelle haben einen neuen Trick gefunden, um mit Adobe Flash bösartige Angriffe zu starten. Vor kurzem entdeckten Forscher einen weiteren Zero-Day[1] Fehler, der im Nahen Osten über ein Microsoft Excel-Dokument ausgenutzt wurde.[2]
Das bösartige Dokument wurde über E-Mails verbreitet. Es enthält jedoch keine schädlichen Inhalte. Wenn ein Ziel jedoch eine Excel-Datei öffnet, ruft es den RAS-Server auf, um schädliche Inhalte herunterzuladen, um den Fehler in Adobe Flash auszunutzen. Diese Technik ermöglicht es, die Antivirus-Erkennung zu vermeiden.
Forscher gehen davon aus, dass dieser Angriff in Katar stattfand:
Katar, weil der von den Angreifern verwendete Domainname „people.dohabayt[.]com“ war, zu dem auch „Doha“, die Hauptstadt von Katar, gehört. Die Domain ähnelt auch einer legitimen Rekrutierungswebsite im Nahen Osten „bayt[.]com“.[3]
Die bösartige Excel-Datei enthielt auch Inhalte in arabischer Sprache. Es scheint, dass die Hauptziele Botschaftsmitarbeiter wie Botschafter, Sekretäre und andere Diplomaten sein könnten. Glücklicherweise wurde der Fehler behoben und die Benutzer werden aufgefordert, Updates zu installieren (CVE-2018-5002).
Die ausgeklügelte Technik ermöglicht es, die Flash-Sicherheitslücke auszunutzen, ohne von Antivirenprogrammen erkannt zu werden
Schädliche E-Mail-Anhänge können von den wichtigsten Sicherheitsprogrammen leicht identifiziert werden. Diesmal fanden Angreifer jedoch einen Weg, die Erkennung zu umgehen, da die Datei selbst nicht gefährlich ist.
Diese Technik ermöglicht die Ausnutzung von Flash von einem Remote-Server, wenn ein Benutzer eine kompromittierte Excel-Datei öffnet. Daher können Sicherheitsprogramme diese Datei nicht als gefährlich markieren, da sie tatsächlich keinen schädlichen Code enthält.
In der Zwischenzeit fordert diese Datei einen bösartigen Shock Wave Flash (SWF) an.[4] Datei, die von der Remotedomäne heruntergeladen wird. Diese Datei wird zum Installieren und Ausführen von bösartigem Shell-Code verwendet, der für das Laden von Trojanern verantwortlich ist. Laut den Forschern öffnet dieser Trojaner am ehesten die Hintertür auf dem betroffenen Rechner.
Darüber hinaus wird die Kommunikation zwischen einem Zielgerät und dem Server eines entfernten Hackers mit einer Kombination aus symmetrischen AES- und asymmetrischen RSA-Verschlüsselungscodes gesichert:
„Um die Datennutzlast zu entschlüsseln, entschlüsselt der Client den verschlüsselten AES-Schlüssel mit seinem zufällig generierten privaten Schlüssel und entschlüsselt dann die Datennutzlast mit dem entschlüsselten AES-Schlüssel.
Die zusätzliche Schicht der Public-Key-Kryptographie mit einem zufällig generierten Schlüssel ist hier entscheidend. Wenn man es verwendet, muss man entweder den zufällig generierten Schlüssel wiederherstellen oder die RSA-Verschlüsselung knacken, um nachfolgende Angriffsebenen zu analysieren.“ [Quelle: Icebrg]
Adobe hat ein Update veröffentlicht, um diesen kritischen Fehler zu beheben
Adobe hat bereits ein Update für den Adobe Flash Player für Windows, macOS, Linux und Chrome OS veröffentlicht. Die kritische Schwachstelle wurde in 29.0.0.171 und früheren Versionen des Programms entdeckt. Daher werden Benutzer dringend aufgefordert, sofort auf die Version 30.0.0.113 zu aktualisieren.
Adobe veröffentlicht CVE-2018-5002[5] Patch, der eine Warnung ausgibt, öffnet ein Benutzer eine verschleierte Excel-Datei. Die Eingabeaufforderung warnt vor möglichen Gefahren, die nach dem Laden des Remote-Inhalts auftreten können.
Die Installation der Updates ist über Update-Dienste im Programm oder aus dem offiziellen Adobe Flash Player Download Center möglich. Wir möchten Sie daran erinnern, dass Pop-ups, Anzeigen oder Downloadquellen von Drittanbietern kein sicherer Ort zum Installieren von Updates sind.