Schlagwort-Archive: Adobe

Exploit zielt auf kürzlich entdeckte Zero-Day-Sicherheitslücke in Windows

Originalartikel von Gelo Abendan, Technical Communications

Trend Micro ist in den Besitz von Exploit-Dateien gelangt, die über eine vor kurzem bekannt gewordene Zero-Day-Sicherheitslücke Windows XP und Windows Server 2003 angreifen. Durch die Sicherheitslücke können sich die Angreifer höhere Privilegien für den Systemzugriff gewähren. Dadurch sind sie in der Lage, die unterschiedlichsten Aktionen auszuführen, wie zum Beispiel Daten einzusehen und zu löschen, Programme zu installieren oder Benutzerkonten mit Administratorrechten einzurichten.

Trend Micro hat die Exploit-Dateien im Rahmen der Analyse eines zielgerichteten Angriffs erhalten. Der Exploit nutzt mittels einer bösartigen PDF-Datei (von Trend Micro als TROJ_PIDEF.GUD entdeckt) eine Adobe-Sicherheitslücke (CVE-2013-3346), die in dem im Mai 2013 veröffentlichten Adobe-Security-Bulletin APSB13-15 erwähnt wurde. Diese Sicherheitslücke wird im Tandem mit der Zero-Day-Sicherheitslücke CVE-2013-5056 in Windows missbraucht, was zum Aufspielen eines Backdoor-Schädlings auf dem infizierten System führt. Dieser Schädling, den Trend Micro als BKDR_TAVDIG.GUD erkennt, führt mehrere Routinen aus. Dazu zählen unter anderem das Herunterladen und Ausführen von Dateien sowie das Übertragen von Systeminformationen an den Command-and-Control-Server.

Dieser Vorfall erinnert einmal mehr daran, wie wichtig es ist, dass die Anwender auf neuere Windows-Versionen migrieren. Im April dieses Jahres kündigte Microsoft an, den Support für Windows XP im April 2014 einzustellen. Das bedeutet, dass Nutzer dieser Windows-Version danach keine Sicherheitsaktualisierungen mehr vom Hersteller erhalten. Windows-XP-Nutzer werden daher gegenüber Angriffen, die Sicherheitslücken in der Betriebssystemversion ausnutzen, verwundbar sein.

Nutzer von Systemen mit neueren Windows-Versionen sind von dieser Bedrohung nicht betroffen. Trend Micro schützt die Anwender davor; die entsprechende Malware wird entdeckt und beseitigt. Weitere Informationen werden zu einem späteren Zeitpunkt nachgereicht.

Weitere Zero-Day-Exploit in Adobe Flash gefunden

Originalartikel von Roland Dela Paz (Threat Response Engineer)

Vor Kurzem wurde ein Exploit für eine weitere Zero-Day-Schwachstelle in Adobe Flash Player gefunden – nur wenige Wochen nachdem Adobe bereits ein Patch für eine ähnliche, schwerwiegende Schwachstelle veröffentlicht hat, die aktiv für Angriffe genutzt wurde.

Laut Security Advisory von Adobe wird die als APSA11-02 identifizierte Schwachstelle zurzeit als eine in einem Microsoft Word-Dokument eingebettete .SWF-Datei für Angriffe genutzt. Aus den Berichten geht hervor, dass der besagte Exploit auch über E-Mails verteilt wurde. Momentan versuchen wir, mehr Informationen über die Art der E-Mail-Nachrichten zu erhalten, die den Exploit verbreiten.

Wir konnten bereits ein Beispiel des Microsoft Word-Dokuments analysieren, in dem der Exploit eingebettet war.
Das Dokument verfügt über den Dateinamen Disentangling_Industrial_Policy_and_Competition_Policy.doc und wird jetzt als TROJ_MDROP.WMP entdeckt. Es enthält eine .SWF-Datei mit dem Angriffscode. Die Datei wird jetzt als TROJ_FAKEAV.DAP entdeckt. Nach erfolgreicher Ausführung des Angriffs legt TROJ_MDROP.WMP eine weitere bösartige Datei ab, die als BKDR_SHARK.WMP entdeckt wird.

Von dieser Schwachstelle ist unter anderem folgende Software betroffen:

  • Adobe Flash Player 10.2.153.1 und frühere Versionen für Windows, Macintosh, Linux und Solaris OSs
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Chrome-Anwender
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Android-Anwender
  • Die Komponente Authplay.dll, die im Lieferumfang von Adobe Reader und Acrobat X (10.0.2) sowie früheren 10.x- und 9.x-Versionen für Windows und Macintosh Betriebssysteme enthalten ist

Die Veröffentlichung eines Patches für diese Schwachstelle durch Adobe steht noch aus.

Dieser Exploit dringt auf ähnliche Weise in Anwendersysteme’ ein wie APSA11-01. Beide Schwachstellen verbreiten sich als .SWF-Dateien, die in Microsoft Office-Dokumente eingebettet sind (die vorherige Schwachstelle ist in Microsoft Excel Tabellenkalkulationen eingebettet). Derartige Bedrohungen können großen Schaden anrichten, wenn sie raffiniert – wie bei gezielten Angriffen – verwendet werden. Zur Erinnerung: APSA11-01 wurde laut Berichten in verschiedenen Angriffen verwendet, einschließlich Angriffen in Verbindung mit dem Erdbeben in Japan und der RSA-Sicherheitsverletzung.

Solange es kein Patch für diese Schwachstelle gibt, ist die Wahrscheinlichkeit sehr hoch, dass sie für Malware-Angriffe genutzt wird. Wir raten Anwendern dringend zu besonderer Vorsicht im Umgang mit E-Mail-Nachrichten von unbekannten Absendern (insbesondere E-Mails mit Anhängen).

Update vom 13. April 2011, 22:10 Uhr PST

Adobe hat bereits den Zeitplan für die Veröffentlichung von Sicherheitsupdates zu dieser Schwachstelle bekannt gegeben. Laut aktuellem Bulletin werden die Patches wie folgt veröffentlicht:

  • Update von Adobe Flash Player 10.2.x und früheren Versionen für Windows, Macintosh, Linux und Solaris am 15. April 2011
  • Update von Adobe Acrobat X (10.0.2) und früheren 10.x- und 9.x-Versionen für Windows und Macintosh, Adobe Reader X (10.0.1) for Macintosh und Adobe Reader 9.4.3 und früheren 9.x-Versionen für Windows und Macintosh am oder vor dem 25. April 2011
  • Das Update von Adobe Reader X for Windows erfolgt im Rahmen des nächsten Sicherheitsupdates, das laut Zeitplan am 14. Juni 2011 veröffentlicht wird

Update vom 15. April 2011, 05:00 Uhr PST

Wir haben Spam-Beispiele zu diesem Zero-Day-Angriff gefunden. Anwender erhalten diese E-Mail-Nachrichten mit einem angehängten Word-Dokument mit dem Dateinamen APRIL 2011.doc:

Zero-Day Flash/Acrobat-Exploit macht die Runde

Originalartikel von: Gelo Abendan, Technical Communications, Trend Micro

Am vergangen Freitag hat Adobe ein Security Advisory veröffentlicht und darin bekannt gegeben, dass in bestimmten Versionen des Adobe Flash Player ein Zero-Day Exploit gefunden wurde. Die Schwachstelle (CVE-2010-1297) wurde als kritisch eingestuft und verursacht das Abstürzen der Applikation. Möglicherweise kann die zugrunde liegende Schwachstelle dazu genutzt werden, weiteren Code ablaufen zu lassen, wie zum Beispiel das Herunterladen und Absetzen bösartiger Dateien auf dem betroffenen System.

Zurzeit sind alle veröffentlichten Flash-Versionen 10.0.x und 9.0.x einschließlich der aktuellen Version (10.0.45.2) angreifbar. Da die angreifbare Komponente darüber hinaus in Adobes PDF-Produkten verwendet wird, sind auch die Acrobat- und Reader-Versionen 9.3.2 und früher, die zur 9.x-Familie gehören, betroffen. Für die Vorgängerversionen 8.x von Acrobat und Reader gilt dies jedoch nicht.

Trend Micro ist bereits auf bösartige Dateien gestoßen, die diese Schwachstelle ausnutzen. Sie werden als TROJ_PIDIEF.WX  entdeckt.

Bislang hat Adobe kein Datum für ein Patch bekannt gegeben. Adobe bietet jedoch zwei mögliche Workarounds, einen für Flash und einen weiteren für Acrobat/Reader. Im ersten Fall können die Anwender die Version 10.1 herunterladen, die bereits zum Download zur Verfügung steht, obwohl sie noch nicht offiziell zur allgemeinen Verwendung freigegeben wurde und den Status eines Release Candidate weiter behält.

Im zweiten Fall können die Anwender die angreifbare Komponente manuell entfernen. Allerdings kann danach jeglicher Flash-Content in PDF-Dateien nicht mehr geöffnet werden. Die Anwender erleben möglicherweise einen Absturz der Applikation oder erhalten eine Fehlermeldung, obwohl die Schwachstelle nicht mehr ausgenutzt werden kann.

Trend Micro schützt die Anwender durch das Smart Protection Network™, das TROJ_PIDIEF.WX mit Hilfe seines Dateireputationsdienstes entdeckt und entfernt.

Schutz gegen Angriffe auf eine Adobe-Schwachstelle

Originalartikel von Jessa De La Torre (Threat Response Engineer bei Trend Micro)

Die Sicherheitsanalysten von Trend Micro haben ein PDF-Exploit entdeckt, das eine noch nicht geschlossene Schwachstelle in Adobe Reader und Acrobat ausnützt. Die als TROJ_PIDIEF.WIA identifizierte Malware verwendet die so genannte Heap Spray Technik, um in ihrem Stream Shell-Code auszuführen. Als Ergebnis wird eine bösartige Datei, die Trend Micro als BKDR_POISON.UC identifiziert, im betroffenen System platziert. Wird diese ausgeführt, so öffnet BKDR_POISON.UC eine Instanz des Internet Explorers und verbindet sich mit einer remote Site cecon.{BLOCKED}-show.org, sodass ein böswilliger Nutzer jeden Befehl auf dem Opfersystem ausführen kann.

Adobe hat für den 12. Januar einen Patch für diese Schwachstelle angekündigt. Doch bis dahin sollten Nutzer JavaScript im Adobe Reader und in Acrobat deaktivieren, denn die Sicherheitsanalysten gehen davon aus, dass Cyberkriminelle die Schwachstelle ausnützen werden. Die Deaktivierung lässt sich folgendermaßen durchführen:

  1. Edit > Preferences anklicken;
  2. Im linken Panel JavaScript wählen;
  3. Enable Acrobat JavaScript Option ausschalten und
  4. OK klicken.

Adobe plant zudem, einen automatischen/stillen Updater heraus zu bringen, der die Systeme automatisch aktualisiert, ohne dass Nutzer eingreifen müssen. Damit wird hoffentlich die Zahl der Nutzer, die den Angriffen der Kriminellen zum Opfer fallen, sinken.

Trend Micro schützt die Nutzer mit dem Smart Protection Network vor dieser Bedrohung. Die intelligente Content-Sicherheitsinfrastruktur erkennt alle mit dem Angriff zusammenhängenden bösartigen Dateien. Die Nutzer von Office Scan mit Intrusion Detection Firewall (IDF) Plugins sind ebenfalls vor diesen Attacken sicher, denn ihre Systeme werden mit IDF1003879 und IDF003885 Filter aktualisiert.