Magnitude Exploit Kit nutzt vor kurzem gepatchte Adobe-Sicherheitslücke aus; USA, Kanada, Großbritannien und Deutschland betroffen

Originalbeitrag von Peter Pi (Threat Analyst)

Zwar hat Adobe eine Sicherheitslücke in seinem Flash Player vergangene Woche geschlossen, Anwender in verschiedenen Ländern – insbesondere in den USA, Kanada, Großbritannien und Deutschland – sind jedoch weiterhin davon betroffen und dem Risiko einer Infektion mit CryptoWall 3.0 ausgesetzt. Denn das Magnitude Exploit Kit enthält mittlerweile auch einen Exploit für diese Sicherheitslücke. Über die Lücke können Angreifer Crypto-Ransomware auf Zielsystemen verbreiten. Erste Hinweise auf solche Angriffe haben wir bereits gestern, den 15. Juni, mit Hilfe unseres Threat-Intelligence-Monitoring aus dem Trend Micro™ Smart Protection Network™ gesehen.

Diese spezielle Sicherheitslücke mit der Bezeichnung CVE-2015-3105 wurde als Teil von Adobes regulärem Juni-Update für den Adobe Flash Player im Zuge eines Upgrades auf die Softwareversion 18.0.0.160 geschlossen. Viele Nutzer jedoch setzen weiterhin die Vorgängerversion (17.0.0.188) ein und sind deshalb dem Infektionsrisiko ausgesetzt.

Folgende Top-Ten-Liste gibt die Länder wieder, die aktuell am meisten von dieser Bedrohung betroffen sind:

  1. USA
  2. Kanada
  3. Großbritannien
  4. Deutschland
  5. Frankreich
  6. Australien
  7. Italien
  8. Türkei
  9. Indien
  10. Belgien

Ein wiederkehrendes Problem

Bei der Bedrohung handelt es sich um ein weiteres Beispiel dafür, wie Cyberkriminelle in kurzer Zeit mittels Exploit Kits erst kürzlich gepatchte Sicherheitslücken ausnutzen. Im März haben wir einen ähnlichen Fall beobachtet. Damals wurden Exploits für eine Sicherheitslücke im Adobe Flash Player nur eine Woche nach Veröffentlichung des Patches dem Nuclear Exploit Kit hinzugefügt. Und Anfang dieses Monats haben wir festgestellt, dass Flash Player in verstärktem Maße mittels Exploit Kits angegriffen wird. Leider sieht es nicht danach aus, dass sich an dieser Situation bald etwas ändern wird:

Flash_CryptoWall_Abb1

Abbildung 1: Für Tests genutzte Flash-Version

Das Beispiel einer Shockwave-Flash (SWF)-Datei, die uns erreicht hat, nutzt secureSWF und zwei Shader für den eigentlichen Exploit-Code, um die dahinter stehenden bösen Absichten stark zu verschleiern.

Flash_CryptoWall_Abb2

Abbildung 2: Im Exploit-Code verwendete Shader

Weit verbreitete Exploit Kits wie Magnitude werden in der Regel mit neuen Sicherheitslücken auf dem aktuellen Stand gehalten. Unsere Untersuchungen auf diesem Gebiet zeigen, dass Magnitude neben SweetOrange und Angler zu den bei Cyberkriminellen beliebtesten Exploit Kits zählt.

CryptoWall ist schon für sich genommen eine ernst zu nehmende Bedrohung. Im vergangenen Jahr wurde CryptoWall über Spam verbreitet, später auch zusammen mit FAREIT, einer Malware für Informationsdiebstahl.

Flash_CryptoWall_Abb3

Abbildung 3: Ransomware-Anzeige

Trend Micro schützt mit seinen Lösungen Anwender vor dieser Bedrohung. Die Trend Micro-Sandbox als Teil von Trend Micro™ Deep Discovery kann mit Hilfe der „Script Analyzer Engine“ die Bedrohung aufgrund ihres Verhaltens aufspüren, ohne dass dafür Updates der Engine oder der Pattern notwendig wären. In den Endpoint-Produkten wie Trend Micro™ Security, OfficeScan und Worry-Free Business Security blockt die Funktionalität „Browser Exploit Prevention“ den Exploit, sobald der Anwender die URL der Seite ansteuert, auf der er gehostet wird. „Browser Exploit Prevention“ schützt vor Exploits, die es auf Browser und ihre Plug-ins abgesehen haben.

Anwender sollten auf die neueste Flash-Player-Version aktualisieren. Diese Bedrohung erinnert wieder einmal daran, wie wichtig regelmäßige Updates sind. Unseren Beobachtungen nach aktualisiert Google Chrome seine eigene eingebettete Flash-Player-Version automatisch.

Der SHA1 des bösartigen Adobe-Flash-Exploits lautet:

  • 16ad317b7950c63720f9c7937a60ee3ea78cc940

Der Blogeintrag entstand unter Mitwirkung von Brooks Li und Joseph C Chen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*