Hacking Team nutzte mehrere Exploits

Originalartikel von Trend Micro

Vor ein paar Tagen wurde die italienische Firma Hacking Team selber gehackt und mehr als 400 GB vertrauliche Unternehmensdaten wurden öffentlich gemacht. Hacking Team ist ein Anbieter von Tools, mit denen nach Firmenaussagen ein gesetzlich erlaubter Mitschnitt der Kommunikation möglich ist, den dann Regierungen oder Polizeibehörden nutzen können. Auch erklärte die Firma, sie mache keine Geschäfte mit Unterdrückerländern.

Der Großteil der veröffentlichten Informationen enthält Daten zu den Geschäftspraktiken von Hacking Team, und die scheinen deren offiziellen Aussagen zu den Geschäftspartnern zu widersprechen. Das Leak umfasst aber auch die Tools für Angriffe. Dazu gehörten zwei Exploits für den Adobe Flash Player und einer für den Windows Kernel. Letzterer (CVE-2015-0349) ist gepatcht worden.

Einer der Flash Exploits wird von Hacking Team als „der schönste Flash Bug der letzten vier Jahre“ beschrieben. Beide Exploits haben noch keine CVE-Nummern.


Bild 1. Beschreibung der Sicherheitslücke durch Hacking Team

Informationen zur Sicherheitslücke

Zu den bekannt gewordenen Informationen gehören sowohl ein Flash Zero-Day-POC (Proof of Concept), der den Windows-Taschenrechner öffnen kann, und eine Version mit realem Angriffs-Shellcode. Im POC befindet sich ein Readme-Dokument, das Einzelheiten des Zero-Days beschreibt: Dieser Exploit ist etwa für Adobe Flash Player 9 und spätere Versionen gedacht aber auch für Desktop/Metro IE, Chrome, Firefox und Safari.


Bild 2. Beschreibung der Sicherheitslücke durch Hacking Team

Root Cause Analysis

Besagtes Dokument beschreibt auch die Root Cause der Sicherheitslücke. Es handelt sich um eine ByteArray-Klasse User-After-Free (UAF)-Schwachstelle. Einzelheiten dazu liefert der Originaleintrag.

Update: Die Daten aus dem Smart Protection Network lassen den Schluss zu, dass das Angler Exploit Kit und Nuclear Exploit Pack nun ebenfalls den Hacking Team Flash Zero-Day enthalten. Adobe hat angekündigt, am 8. Juli einen Patch für den Flash Player zu veröffentlichen. Weitere Details zu der Bedrohung gibt es hier.

Fazit

Trend Micro kann über Deep Discovery gegen diese Bedrohung schützen, ohne dass Updates erforderlich sind. Die vorhandene Sandbox mit der Script Analyzer Engine erkennt die Bedrohung an ihrem Verhalten. Die Funktionalität Browser Exploit Prevention in Endpoint Security der Trend Micro™ Smart Protection Suite blockt den Exploit, sobald der Nutzer auf die URL zugreift, die ihn hostet. Browser Exploit Prevention schützt gegen Exploits, die auf Browser abzielen oder damit verbundene Plugins. Trend Micro hat auch ein Sicherheits-Update für Deep Security herausgegeben. Es umfasst die DPI-Regel

1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.