Das Exploit Kit im CVE-2015-0313-Angriff

Originalartikel von Brooks Li, Threats Analyst

Zum jüngsten Adobe Flash Zero-Day-Angriff erklärte Adobe in seinem Advisory, dass die darin involvierte Sicherheitslücke CVE-2015-0313 alle aktuellen Versionen einbezieht (der Hersteller hat Version 11.x und frühere von betroffener Software entfernt). Die Trend Micro-Bedrohungsforscher gingen aufgrund der Charakteristiken der URL davon aus, dass die Angreifer das Angler Exploit Kit einsetzten.

Daher nutzten sie in ihren Tests Angler HTML-Parameter und erkannten, dass SWF_EXPLOIT.MJST ausgeführt werden kann. Als weiteren Hinweis auf Angler sahen sie die bei beiden Angriffen sehr ähnlichen Verschleierungsmethoden an.



Bild. Ähnliche Verschleierungsmethoden bei den beiden jüngsten Zero Days

Kafeine, ein unabhängiger Bedrohungsforscher, erkennt mehr Ähnlichkeiten zum Hanjuan Exploit Kit. Besagtes Exploit Kit ist stark darauf ausgerichtet, US-Verkehr von einer bestimmten Domäne über eine spezifische Werbeplattform zu kapern. Es ist schwierig zu sagen, welches Exploit Kit genau in diesem Durchgang genutzt wurde, doch die Hinweise die die Domäne/IP, die Historie des Exploit Kits und das HTML auf Upper Level liefern, lässt die Annahme plausibel erscheinen.

Die Auswirkungen der Bedrohung sind immer noch gleich ernst. Ein Zero-Day Exploit in Kombination mit dem sehr effizienten Malvertising-Schema sollte jeden dazu veranlassen, über mehr Sorgfalt beim Browsen nachzudenken. Verseuchte Werbung als Verbreitungsweg für Schadsoftware ist zwar „altmodisch“, aber immer noch effizient, weil Websites keine Wahl haben, als die Anzeigen hochzuladen und den von Drittanbietern gelieferten Inhalten zu vertrauen. Auch die Nutzer haben keine andere Wahl, als die Anzeigen als Teil ihrer täglichen Browsing-Erfahrung zu akzeptieren.

IT-Administratoren aber stehen tatsächlich mehr sichere Optionen zur Verfügung. Aktualisieren von Software gehört normalerweise zur Grundsicherheit, hilft aber in diesem aktuellen Fall nicht. Deshalb wäre eine sichere Option, den Flash Player abzuschalten zumindest bis ein neuer Patch veröffentlicht ist. Adobe hat einen noch für diese Woche versprochen. Die Bedrohungsforscher stellten auch fest, dass der Exploit der Google Chrome-Sandbox nicht entkommen kann.

Trend Micro-Produkte schützen Anwender vor diesem Angriff über die Script Analyzer Engine in Trend Micro™ Deep Discovery und über die Browser Exploit Prevention-Funktionalität in den Endpoint-Schutzlösungen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*