Schon wieder ein Zero-Day Exploit in Adobe

Originalartikel von Peter Pi, Threat Analyst

Die Sicherheitsforscher von Trend Micro haben einen neuen Zero-Day Exploit in Adobe Flash entdeckt, der in Angriffen über bösartige Anzeigen genutzt wurde. Der Exploit (CVE-2015-0313) betrifft die neuesten Versionen von Adobe Flash. Erste Analysen lassen aufgrund von ähnlichen Verschleierungstechniken und der Infektionskette den Schluss zu, dass der Angriff mithilfe des Angler Exploit Kits durchgeführt wurde.

Die vorhandenen Daten zeigen, dass Besucher der beliebten Site dailymotion.com auf eine Reihe anderer Sites, die den Exploit hosten, umgeleitet wurden. Die Infektion passiert automatisch, denn die Werbeanzeigen sind so aufgesetzt, dass sie geladen werden, sobald ein Nutzer die Site besucht. Es ist wahrscheinlich, dass dieses Vorgehen nicht auf Dailymotion beschränkt ist, denn die Infektion wurde auch von anderen Werbeplattformen aus angestoßen und nicht vom Inhalt der Site selbst. Trend Micro hat den Exploit als SWF_EXPLOIT.MJST identifiziert und blockt obige URL.

Die Bedrohungsforscher haben diesen Angriff seit dem 14. Januar beobachtet und um den 27. Januar herum eine Spitze bezüglich der Zugriffe auf die IP für diese bösartige URL gesehen. Die Daten aus dem Smart Protection Network zeigten auch, dass die meisten Nutzer, die auf den bösartigen Server zugriffen, aus den USA stammen.



Bild. Zahl der Zugriffe auf eine der betroffenen IP-Adressen

Nutzer und Unternehmen sollten diese Bedrohung ernst nehmen. Es gab bislang um die 3.294 Treffer für den Exploit, und es ist wahrscheinlich, dass es weitere Angriffe gibt, die den Zero-Day ausnützen. Da der Exploit die neueste Flash-Version 16.0.0.296 betrifft, ist es empfehlenswert, den Flash Player zu deaktivieren, bis eine gepatchte Version verfügbar ist.

Adobe hat bestätigt, dass es sich um einen Zero-Day Exploit handelt, und ein Patch sollte noch diese Woche verfügbar werden. Weitere Details gibt es in dem Adobe-Advisory für diese Sicherheitslücke.

Die Sandbox mit der Script Analyzer Engine in Trend Micro™ Deep Discovery erkennt die Bedrohung an ihren Verhaltensweisen, ohne dass zusätzliche Engines oder Pattern Updates erforderlich sind. Die Browser Exploit Prevention-Funktionalität in den Endpunktelösungen von Trend Micro, wie etwa Security, OfficeScan und Worry-Free Business Security blockt den Exploit, sobald ein Nutzer auf die bösartige URL zugreift. Browser Exploit Prevention schützt auch gegen Exploits, die auf Browser oder zugehörige Plugins zielen.

Dies ist nicht die erste entdeckte Zero-Day-Lücke in Adobe Flash. Ebenfalls im Januar gab es bereits CVE-2015-0311.

Deep Security und Vulnerability Protection (ehemals Defense Firewall Plugin für OfficeScan) schützt Anwendersysteme vor Bedrohungen, die diesen Zero-Day ausnutzen. Die folgende DPI-Regel greift:

1006468 – Adobe Flash Player Unspecified Vulnerability (CVE-2015-0313)

Zusätzliche Analysen von Joseph C. Chen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*