Weitere Zero-Day-Exploit in Adobe Flash gefunden

Originalartikel von Roland Dela Paz (Threat Response Engineer)

Vor Kurzem wurde ein Exploit für eine weitere Zero-Day-Schwachstelle in Adobe Flash Player gefunden – nur wenige Wochen nachdem Adobe bereits ein Patch für eine ähnliche, schwerwiegende Schwachstelle veröffentlicht hat, die aktiv für Angriffe genutzt wurde.

Laut Security Advisory von Adobe wird die als APSA11-02 identifizierte Schwachstelle zurzeit als eine in einem Microsoft Word-Dokument eingebettete .SWF-Datei für Angriffe genutzt. Aus den Berichten geht hervor, dass der besagte Exploit auch über E-Mails verteilt wurde. Momentan versuchen wir, mehr Informationen über die Art der E-Mail-Nachrichten zu erhalten, die den Exploit verbreiten.

Wir konnten bereits ein Beispiel des Microsoft Word-Dokuments analysieren, in dem der Exploit eingebettet war.
Das Dokument verfügt über den Dateinamen Disentangling_Industrial_Policy_and_Competition_Policy.doc und wird jetzt als TROJ_MDROP.WMP entdeckt. Es enthält eine .SWF-Datei mit dem Angriffscode. Die Datei wird jetzt als TROJ_FAKEAV.DAP entdeckt. Nach erfolgreicher Ausführung des Angriffs legt TROJ_MDROP.WMP eine weitere bösartige Datei ab, die als BKDR_SHARK.WMP entdeckt wird.

Von dieser Schwachstelle ist unter anderem folgende Software betroffen:

  • Adobe Flash Player 10.2.153.1 und frühere Versionen für Windows, Macintosh, Linux und Solaris OSs
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Chrome-Anwender
  • Adobe Flash Player 10.2.154.25 und frühere Versionen für Android-Anwender
  • Die Komponente Authplay.dll, die im Lieferumfang von Adobe Reader und Acrobat X (10.0.2) sowie früheren 10.x- und 9.x-Versionen für Windows und Macintosh Betriebssysteme enthalten ist

Die Veröffentlichung eines Patches für diese Schwachstelle durch Adobe steht noch aus.

Dieser Exploit dringt auf ähnliche Weise in Anwendersysteme’ ein wie APSA11-01. Beide Schwachstellen verbreiten sich als .SWF-Dateien, die in Microsoft Office-Dokumente eingebettet sind (die vorherige Schwachstelle ist in Microsoft Excel Tabellenkalkulationen eingebettet). Derartige Bedrohungen können großen Schaden anrichten, wenn sie raffiniert – wie bei gezielten Angriffen – verwendet werden. Zur Erinnerung: APSA11-01 wurde laut Berichten in verschiedenen Angriffen verwendet, einschließlich Angriffen in Verbindung mit dem Erdbeben in Japan und der RSA-Sicherheitsverletzung.

Solange es kein Patch für diese Schwachstelle gibt, ist die Wahrscheinlichkeit sehr hoch, dass sie für Malware-Angriffe genutzt wird. Wir raten Anwendern dringend zu besonderer Vorsicht im Umgang mit E-Mail-Nachrichten von unbekannten Absendern (insbesondere E-Mails mit Anhängen).

Update vom 13. April 2011, 22:10 Uhr PST

Adobe hat bereits den Zeitplan für die Veröffentlichung von Sicherheitsupdates zu dieser Schwachstelle bekannt gegeben. Laut aktuellem Bulletin werden die Patches wie folgt veröffentlicht:

  • Update von Adobe Flash Player 10.2.x und früheren Versionen für Windows, Macintosh, Linux und Solaris am 15. April 2011
  • Update von Adobe Acrobat X (10.0.2) und früheren 10.x- und 9.x-Versionen für Windows und Macintosh, Adobe Reader X (10.0.1) for Macintosh und Adobe Reader 9.4.3 und früheren 9.x-Versionen für Windows und Macintosh am oder vor dem 25. April 2011
  • Das Update von Adobe Reader X for Windows erfolgt im Rahmen des nächsten Sicherheitsupdates, das laut Zeitplan am 14. Juni 2011 veröffentlicht wird

Update vom 15. April 2011, 05:00 Uhr PST

Wir haben Spam-Beispiele zu diesem Zero-Day-Angriff gefunden. Anwender erhalten diese E-Mail-Nachrichten mit einem angehängten Word-Dokument mit dem Dateinamen APRIL 2011.doc:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*