Schlagwort-Archive: Exploits

Trend Micro schützt vor aktiven Exploits der jüngsten Sicherheitslücken im Internet Explorer

Originalartikel von Pavithra Hanchagaiah (Senior Security Researcher)

Neben dem regulären monatlichen Patch-Release, das Microsoft gestern veröffentlichte und eine relativ große Anzahl an Sicherheitslücken im Internet Explorer (IE) schließt (MS12-037), berichtete Microsoft über eine weitere IE-Sicherheitslücke, zu der es allerdings noch keinen Patch gibt. Das MS Security Advisory (2719165) identifizierte die Microsoft XML (MSXML) Core Services als die verwundbare Stelle. MSXML bietet eine Reihe von W3C-konformen XML APIs, die es Anwendern ermöglichen, Jscript, VBScript und Microsoft-Entwicklungswerkzeuge zur Erstellung von Anwendungen auf Basis des XML 1.0-Standards zu nutzen.

Die Sicherheitslücke in den Microsoft XML Core Services ermöglicht das Ausführen von Code durch Dritte über den Zugriff auf ein nicht initialisiertes COM-Objekt im Arbeitsspeicher. Wenn die Lücke erfolgreich ausgenutzt wird, könnte ein Angreifer beliebigen Code im Rahmen der jeweiligen Berechtigungen des angemeldeten Users ausführen.

Wie bereits erwähnt, stellen die MSXML Core Services auch ein Set an APIs für den Zugriff auf bestimmte COM-Objekte bereits, um Document Object Model-Aufgaben wie die Verwaltung von Namensräumen zu vereinfachen. Ein Angreifer kann dadurch Websites so präparieren, dass sie eine bösartige Webseite beherbergen, die besagte MSXML APIs aufruft. Dies wiederum führt zum Zugriff auf ein COM-Objekt im Arbeitsspeicher, das nicht gestartet wurde. Die Sicherheitslücke wird ausgenutzt, wenn ein Anwender diese präparierten Webseiten mit dem Internet Explorer öffnet. Anwender stoßen auf diese Seiten möglicherweise über anklickbare Links in einer speziell präparierten E-Mail-Nachricht oder Instant Message.

Trend Micro Deep Security-Kunden sollten die Regel 1005061 – Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889) anwenden, um den Zugriff auf Websites zu blocken, die solche bösartigen Webseiten beherbergen. Denn diese rufen in Frage kommende MSXML COM-Objekte auf, die ihrerseits auf angreifbare JavaScript-Methoden zugreifen. Darüber hinaus bietet Trend Micro Deep Security Schutz vor den Sicherheitslücken in MS12-037; die entsprechenden Informationen finden sich auf dieser Seite in der Threat Encyclopedia von Trend Micro. Sämtliche Regeln sind ebenfalls über das Intrusion Defense Firewall-Plugin in OfficeScan verfügbar.

Trend Micro prüft zurzeit Berichte über Angriffe, in denen die genannten Sicherheitslücken angeblich ausgenutzt werden. Der vorliegende Blogeintrag wird entsprechend dem Fortgang der Untersuchungen aktualisiert.

Update vom 14. Juni

Der Schädling JS_LOADER.HVN nutzt die Sicherheitslücke CVE-2012-1875 aus, die im MS12-037-Bulletin beschrieben ist und für das ein entsprechendes Patch vorliegt. Bei dem Schädling handelt es sich um ein bösartiges Script, das weitere Schadsoftware auf die befallenen Systeme herunterlädt. Trend Micro-Anwender sind vor diesem Schädling geschützt.

Weitere Zero-Day-Exploit in Adobe Flash gefunden

Originalartikel von Roland Dela Paz (Threat Response Engineer)

Vor Kurzem wurde ein Exploit für eine weitere Zero-Day-Schwachstelle in Adobe Flash Player gefunden – nur wenige Wochen nachdem Adobe bereits ein Patch für eine ähnliche, schwerwiegende Schwachstelle veröffentlicht hat, die aktiv für Angriffe genutzt wurde.

Laut Security Advisory von Adobe wird die als APSA11-02 identifizierte Schwachstelle zurzeit als eine in einem Microsoft Word-Dokument eingebettete .SWF-Datei für Angriffe genutzt. Aus den Berichten geht hervor, dass der besagte Exploit auch über E-Mails verteilt wurde. Momentan versuchen wir, mehr Informationen über die Art der E-Mail-Nachrichten zu erhalten, die den Exploit verbreiten.

Wir konnten bereits ein Beispiel des Microsoft Word-Dokuments analysieren, in dem der Exploit eingebettet war.
Das Dokument verfügt über den Dateinamen Disentangling_Industrial_Policy_and_Competition_Policy.doc und wird jetzt als TROJ_MDROP.WMP entdeckt. Es enthält eine .SWF-Datei mit dem Angriffscode. Die Datei wird jetzt als TROJ_FAKEAV.DAP entdeckt. Nach erfolgreicher Ausführung des Angriffs legt TROJ_MDROP.WMP eine weitere bösartige Datei ab, die als BKDR_SHARK.WMP entdeckt wird.

Von dieser Schwachstelle ist unter anderem folgende Software betroffen:

  • Adobe Flash Player 10.2.153.1 und frühere Versionen für Windows, Macintosh, Linux und Solaris OSs
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Chrome-Anwender
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Android-Anwender
  • Die Komponente Authplay.dll, die im Lieferumfang von Adobe Reader und Acrobat X (10.0.2) sowie früheren 10.x- und 9.x-Versionen für Windows und Macintosh Betriebssysteme enthalten ist

Die Veröffentlichung eines Patches für diese Schwachstelle durch Adobe steht noch aus.

Dieser Exploit dringt auf ähnliche Weise in Anwendersysteme’ ein wie APSA11-01. Beide Schwachstellen verbreiten sich als .SWF-Dateien, die in Microsoft Office-Dokumente eingebettet sind (die vorherige Schwachstelle ist in Microsoft Excel Tabellenkalkulationen eingebettet). Derartige Bedrohungen können großen Schaden anrichten, wenn sie raffiniert – wie bei gezielten Angriffen – verwendet werden. Zur Erinnerung: APSA11-01 wurde laut Berichten in verschiedenen Angriffen verwendet, einschließlich Angriffen in Verbindung mit dem Erdbeben in Japan und der RSA-Sicherheitsverletzung.

Solange es kein Patch für diese Schwachstelle gibt, ist die Wahrscheinlichkeit sehr hoch, dass sie für Malware-Angriffe genutzt wird. Wir raten Anwendern dringend zu besonderer Vorsicht im Umgang mit E-Mail-Nachrichten von unbekannten Absendern (insbesondere E-Mails mit Anhängen).

Update vom 13. April 2011, 22:10 Uhr PST

Adobe hat bereits den Zeitplan für die Veröffentlichung von Sicherheitsupdates zu dieser Schwachstelle bekannt gegeben. Laut aktuellem Bulletin werden die Patches wie folgt veröffentlicht:

  • Update von Adobe Flash Player 10.2.x und früheren Versionen für Windows, Macintosh, Linux und Solaris am 15. April 2011
  • Update von Adobe Acrobat X (10.0.2) und früheren 10.x- und 9.x-Versionen für Windows und Macintosh, Adobe Reader X (10.0.1) for Macintosh und Adobe Reader 9.4.3 und früheren 9.x-Versionen für Windows und Macintosh am oder vor dem 25. April 2011
  • Das Update von Adobe Reader X for Windows erfolgt im Rahmen des nächsten Sicherheitsupdates, das laut Zeitplan am 14. Juni 2011 veröffentlicht wird

Update vom 15. April 2011, 05:00 Uhr PST

Wir haben Spam-Beispiele zu diesem Zero-Day-Angriff gefunden. Anwender erhalten diese E-Mail-Nachrichten mit einem angehängten Word-Dokument mit dem Dateinamen APRIL 2011.doc: