Zero-Day-Angriff in Magnitude Exploit Kit zielt auf CVE-2016-1019 in älteren Flash Player-Versionen

Originalbeitrag von Peter Pi, Brooks Li und Joseph C. Chen

Nach dem Security Advisory vom 5. April 2016 hat Adobe jetzt einen Patch für die Sicherheitslücke CVE-2016-1019, die den Adobe Flash Player betrifft, veröffentlicht. Die Sicherheitsforscher von Trend Micro haben bereits aktive Zero-Day-Angriffe durch das Magnitude Exploit Kit beobachten können, die die Nutzer des Flash 20.0.0.306 und davor im Visier haben. Nicht betroffen sind Nutzer der Flash-Versionen 21.0.0.182 und 21.0.0.197. Bei Angriffsversuchen wird der Flash Player dieser Anwender „nur“ crashen.

Nutzer sind gut beraten, sofort ihre Systeme mit dem neuesten Sicherheitsfix zu aktualisieren. Noch bevor der Patch veröffentlicht wurde, konnten die Sicherheitsforscher sehen, dass das Exploit Kit die Sicherheitslücke in ihr Arsenal integriert hatte, sodass Systeme für Ransomware anfällig sind.

Die Analysen von CVE-2016-1019 zeigten, dass es sich um eine Art „Confusion“-Lücke handelt, wobei der Exploit für Flash 20.0.0.306 und davor erfolgreich ist, während Flash-Versionen 21.0.0.182 und 21.0.0.197 bei einem Angriff abstürzen. Adobe hat eine Heap-Verbesserung für die Version 21.0.0.182 und 21.0.0.197 vorgenommen.

Bild 1. Bösartige Domänen, die das Magnitude Exploit Kit hosten

Magnitude integriert Adobe Flash Zero-Day-Angriff und infiziert Systeme mit Locky Ransomware

Bereits am 31. März fanden die Sicherheitsforscher einen Zero-Day, der in den Code des Magnitude Exploit Kit integriert worden war. Er führt zur Locky Ransomware.

Bild 2. Weltweite Verteilung des Magnitude Exploit Kit-Verkehrs (31. März – 6. April 2016)

Sicherheitslösungen zum Schutz vor Adobe Flash Zero-Day-Angriffe

Die Angreifer hinter dem Magnitude Exploit Kit haben den Sicherheitsfehler schnell in die Liste der möglichen Sicherheitslücken aufgenommen. Deshalb müssen Nutzer ihren Adobe Flash Player sofort auf aktuellen Stand bringen.

Trend Micro schützt Systeme vor den Risiken durch Zero-Day-Angriffe. Die Browser Exploit Prevention-Funktionalität in Endpoint-Sicherheitslösungen wie Trend Micro™ SecuritySmart Protection Suites und Worry-Free Business Security blockiert Browser Exploits, sobald der Nutzer auf eine URL zugreift, die ein solches hostet.

Die Sandbox mit der Script Analyzer Engine als Teil von Trend Micro™ Deep Discovery erkennt diese Bedrohung über eine Verhaltensanalyse, ohne Hilfe von Engine oder Pattern-Updates.

Trend Micro Deep Security und Vulnerability Protection schützt Systeme vor Bedrohungen, die diese Sicherheitslücken ausnützen können. Die folgenden DPI-Regeln sind dafür da:

  • 1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

TippingPoint-Kunden sind vor diesen Angriffen über die folgenden MainlineDV-Filter geschützt. Sie sind ab dem 12. April verfügbare:

  • 24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability

Dank auch an Kafeine für die Zusammenarbeit beim Schutz von Kunden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*