Erste Hälfte 2015 zeigt OS X Zero Days im Anmarsch

Originalbeitrag von Weimin Wu, Threat Analyst

2015 war für Sicherheitsforscher bislang ein sehr arbeitsreiches Jahr. Die durchgesickerten Daten von Hacking Team schockierten viele. Das lag einerseits and der hohen Zahl von Zero-Days, die daraus zutage gefördert wurden, und andererseits an E-Mails, in denen der skrupellose Handel mit Exploits und „Tools” diskutiert wurde. Deshalb ist es ein guter Zeitpunkt, um einen Rückblick auf die durch diese Sicherheitslücken entstandenen Änderungen in der Bedrohungslandschaft zu wagen.

Die Risiken bei der Nutzung von OS X, iOS, Android und Flash Player sind in diesem Jahr größer geworden. In dieser ersten Jahreshälfte entdeckten und veröffentlichten die Sicherheitsforscher von Trend Micro 26 Sicherheitslücken, davon acht Zero-Days. Die Risiken bei der Nutzung von OS X, iOS, Android und Flash Player sind in diesem Jahr größer geworden. Dies zeigen die Daten von Trend Micro und auch die von Hacking Team.

Bislang entdeckten und veröffentlichten die Sicherheitsforscher von Trend Micro 2015 26 Sicherheitslücken, davon acht Zero-Days. Zwei davon wurden in fortgeschrittenen Angriffen verwendet, einschließlich Pawn Storm und Attacken in Korea und Japan. Andere zwei wurden in Exploit Kits (CVE-2015-0311CVE 2015-0313) entdeckt. Vier weitere Zero-Days fanden die Sicherheitsforscher in den Daten von Hacking Team und bestätigten, dass zumindest einer (CVE-2015-5122) davon schnell in Exploit Kits integriert wurde. Seit Juli wurden von verschiedenen Forschern 15 Zero-Days in viel genutzten Desktop-Anwendungen gefunden, davon acht von Trend Micro.
Bild 1. Zeitschiene für Zero-Days und kritische Sicherheitslücken in 2015

Die folgenden, in der Liste aufgeführten Sicherheitslücken entdeckte Trend Micro in 2015 (die fett gedruckten  Lücken sind Zero-Days):

  1. CVE-2014-4140 (Microsoft Internet Explorer, MS14-056)
  2. CVE-2015-0069 (Microsoft Internet Explorer, MS15-009)
  3. CVE-2015-0311 (Adobe Flash, APSB15-03)
  4. CVE-2015-0313 (Adobe Flash, APSA15-02)
  5. CVE-2015-1649 (Microsoft Office, MS15-033)
  6. CVE-2015-1683 (Microsoft Office, MS15-046)
  7. CVE-2015-1694 (Microsoft Internet Explorer, MS15-043)
  8. CVE-2015-1709 (Microsoft Internet Explorer, MS15-043)
  9. CVE-2015-1754 (Microsoft Internet Explorer, MS15-056)
  10. CVE-2015-1835 (Apache Cordova Bulletin)
  11. CVE-2015-2391 (Microsoft Internet Explorer, MS15-065)
  12. CVE-2015-2415 (Microsoft Office, MS15-070)
  13. CVE-2015-2425 (Microsoft Internet Explorer, MS15-065)
  14. CVE-2015-2426 (Microsoft Windows, MS15-078)
  15. CVE-2015-2590 (Oracle Java – Oracle Critical Patch Update Advisory – Juli 2015)
  16. CVE-2015-3823 (Google Android)
  17. CVE-2015-3824 (Google Android)
  18. CVE-2015-3839 (Google Android)
  19. CVE-2015-3840 (Google Android)
  20. CVE-2015-3842 (Google Android)
  21. CVE-2015-3847 (Google Android)
  22. CVE-2015-3851 (Google Android)
  23. CVE-2015-3852 (Google Android)
  24. CVE-2015-5119 (Adobe Flash, APSA15-03)
  25. CVE-2015-5122 (Adobe Flash, APSA15-04)
  26. CVE-2015-5123 (Adobe Flash, APSB15-18)

Auch entdeckten die Sicherheitsforscher neun Sicherheitslücken in der Android-Plattform. Im Allgemeinen stieg die Anzahl der Lücken in mobilen Betriebssystemen und OS X seit 2014 erheblich. Sie erregten große Aufmerksamkeit bei Blackhat Hackern, Whitehat Hackern und auf Sicherheitskonferenzen. Auch Angriffe sind bekannt geworden: Ein Zero-Day Exploit Toolkit von Hacking Team umfasste handgemachten Shellcode für Angriffe auf OS X 64-Bit-Systeme. Daraus lässt sich schließen, dass die Kunden von Hacking Team – also Angreifer – an Mac-Nutzern großes Interesse haben.

Mindestens fünf Flash Exploits wurden in Exploit Kits importiert, nachdem Adobe Patches veröffentlicht hatte. Doch wurden neue Exploits, die auf andere Anwendungen zielten, in derselben Zeitspanne sehr selten gefunden. Das zeigt, dass Flash Player von den Angreifern speziell ins Visier genommen wurde.

Bild 2. Verteilung von Zero-Days, die in Desktop-Applikationen gefunden wurden

Bild 3. Verteilung der Zero-Day-Funde

Weitere Änderungen und die Zukunft

Zusätzlich zu der Vielfalt der bislang in 2015 gefundenen Flash Exploits gab es noch weitere Entwicklungen bezüglich der Lücken und Exploits:

  • Nach mehreren schwierigen Jahren führte Adobe in der aktuellen Version von Flash Player (mit einiger Hilfe von Google Project Zero) endlich neue Mechanismen für die Exploit-Schadensbegrenzung ein. Dazu gehört eine Verstärkung des Flash Heap über Isolation und stärkere Randomization sowie zusätzliche Validierung für Vector.<*> length. Als Ergebnis können Sicherheitslücken nicht mehr mit aktuell bekannten Methoden ausgenutzt werden. Das sollte Angreifer kurzfristig von ihren Taten abhalten, denn es wird schwieriger Exploit-Code zu schreiben – solange Nutzer die aktuelle Flash-Versionen einsetzen.
  • Trend Micros Sicherheitsforscher entdeckten auch den ersten Java Zero-Day seit 2003. Er wurde in neuen Angriffen in Verbindung mit der Operation Pawn Storm verwendet, die auf die Streitkräfte eines NATO-Mitglieds und einer US-Verteidungsorganisation gerichtet waren. Zwei Sicherheitslücken wurden in dem Exploit genutzt und eine (CVE-2015-2590) hat Oracle geschlossen. Ob es großangelegte Angriffe auf Java geben wird, ist ungewiss.
  • Die Anbieter haben die in den Hacking Team-Daten durchgesickerten Lücken schnell gefixt. Für den Moment sind das gute Nachrichten, doch werden diese Angriffs-Templates längerfristig noch Auswirkungen haben. Hacking Team war gut organisiert und andere Angreifer können daraus lernen. Es ist nicht einfach, Exploits zu erstellen, die über mehrere Plattformen hinweg funktionieren und ohne Wissen der Nutzer laufen. Das hat Hacking Team geschafft, und ihre Exploits waren vom Design und der Qualität her hervorragend gebaut. Sie können gut als Vorbild für die Hacker dienen.

Aufgrund der dargestellten Punkte wird es wahrscheinlich mehr fortgeschrittene Angriffe in der zweiten Jahreshälfte geben.

Macs werden wegen der entdeckten OS X-Lücken stetig mehr Angreifer anziehen. Die Details des CVE zeigen, dass 2013 63 Lücken und weitere 111 im nächsten Jahr gefunden wurden. 2015 entdeckten die Sicherheitsforscher auch bereits 178 und arbeiten zusammen mit Apple daran, Patches dafür zur Verfügung zu stellen. Die Erforschung von OS X-Lücken steht noch am Anfang und einige Kenntnisse über Windows Exploits (etwa die auf Return orientierte Programming, ROP) sind auf die Apple-Plattform übertragbar. Sogar einige Schadsoftware-Familien (etwa Flashback) sind „portiert“ worden.

Bislang gab es in 2015 mehrere Sicherheitsvorfälle mit OS X-Lücken wie ThunderstrikeRoot-PipeEFI Boot Script-Lücke und DYLD_PRINT_TO_FILE-Lücke. Glücklicherweise konnten diese Exploits nur als Teil einer größeren Angriffskette eingesetzt werden und nicht für einen eigenen kompletten Angriff.

Dies hat sich mit dem „Thunderstrike 2″-Rootkit geändert, denn es wurde bereits eingesetzt. Es nutzt die DYLD_PRINT_TO_FILE-Lücke für die Fern-Kompromittierung von Macs ( über eine Phishing Mail oder bösartige Website). Danach kann es sich von einem Mac auf den nächsten verbreiten über Thunderbolt-Geräte, indem es eine EFI-Lücke nutzt (USB Malware auf Windows PCs sehr ähnlich). Thunderstrike 2 ist aus drei Gründen eine viel ernstere Gefahr:

  • Es kann Remote installiert und verbreitet werden;
  • Es lässt sich nicht entfernen, auch nicht über eine Formattierung der Festplatte;
  • Für eine der Lücken gibt es noch keinen Patch.

All dies lässt darauf schließen, dass das Risiko für Mac-Nutzer steigt, angegriffen zu werden.

Darüber hinaus könnten Angreifer Auweichtaktiken wie SecureSWF-Verschlüsselung einsetzen, oder auch nochmals Java. Der neue Windows 10-Browser Microsoft Edge umfasst zwar erhebliche Verbesserungen, doch werden Angreifer bestimmt die Verteidigungsmechanismen gründlich prüfen.

Sicherheitslückenerforschung und Trend Micros Schutz

Die Sicherheitsforscher konzentrieren sich auf die Analyse von Exploit-Mustern, die sie von Opfern gezielter Angriffe sammeln. Sie bekommen sie aus verschiedenen Kanälen wie Honeypots, Feedback aus Trend Micros Produkten und von Kunden sowie Nutzern. Aus dieser Vielfalt an Informationen konnten die Forscher in nur sieben Monaten viele Zero-Day-Angriffe aufspüren. Mithilfe von Statistikanalysen, Fuzzing und Penetrationstests können sie auch proaktiv Sicherheitlücken finden, die sie den Anbietern melden, bevor die Hacker sie nutzen können.

Auch arbeiten die Forscher eng mit den Entwicklungsteams zusammen, um sicherzustellen, dass die Produkte den bestmöglichen Schutz gegen Exploits bieten. Die Produkte nutzen die effizientesten Erkennungsmethoden. Die gesammelten Muster und entdeckten Schachstellen werden dazu verwendet, um die Effizienz der Produkte und Lösungen zu validieren.

All dieser Aufwand trägt zu den positiven Testergebnissen bei, die die Trend Micro-Produkte in den unabhängigen Tests von Instituten wie AV-Test, AV-Comparative und NSS Labs erzielen.

Zero-day Exploits werden in erster Linie dazu genutzt, um zielgerichtete Angriffe auszuführen. Sie sind per Definition unbekannt und nicht vorhersagbar und gefährden auch die Systeme der gründlichsten Sicherheitspraktiker. Zusätzlich zum Benchmarking hilft Trend Micros Forschung Zero-Days proaktiv zu erkennen und den Angreifern einen Schritt voraus zu sein.

Die vorhandene Sandbox mit der Script Analyzer Engine (Teil von Trend Micro Deep Discovery) kann viele der 2015 entdeckten Zero-Day Exploits erkennen, ohne dass ein Update notwendig ist. Die Möglichkeit, Zero-Days zu erkennnen, ist für Nutzer noch wertvoller als deren Aufdeckung und die Reaktion darauf. Trend Micor konnte die folgenden Zero-Days aufspüren, ohne jegliche Updates:

  • CVE-2015-0310
  • CVE-2015-0311
  • CVE-2015-0313
  • CVE-2015-2590
  • CVE-2015-3043
  • CVE-2015-3113
  • CVE-2015-5119
  • CVE-2015-5123

Dieses Benchmarking und die fortschrittliche Erkennung zeigen, dass Trend Micro Deep Discovery eine führende Lösung gegen APT/fortgeschrittene Bedrohungen ist, wobei die smarte Sandbox eine Schlüsselrolle darin spielt. Sie ist anpassbar und umfassst nicht nur Payload-Verhaltenserkennung, sondern enthält auch Script- und Shell-Code Verhaltenserkennung. Weitere Einzelheiten gibt es hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*