Originalbeitrag von Peter Pi (Threat Analyst)
Zwar hat Adobe eine Sicherheitslücke in seinem Flash Player vergangene Woche geschlossen, Anwender in verschiedenen Ländern – insbesondere in den USA, Kanada, Großbritannien und Deutschland – sind jedoch weiterhin davon betroffen und dem Risiko einer Infektion mit CryptoWall 3.0 ausgesetzt. Denn das Magnitude Exploit Kit enthält mittlerweile auch einen Exploit für diese Sicherheitslücke. Über die Lücke können Angreifer Crypto-Ransomware auf Zielsystemen verbreiten. Erste Hinweise auf solche Angriffe haben wir bereits gestern, den 15. Juni, mit Hilfe unseres Threat-Intelligence-Monitoring aus dem Trend Micro™ Smart Protection Network™ gesehen.
Diese spezielle Sicherheitslücke mit der Bezeichnung CVE-2015-3105 wurde als Teil von Adobes regulärem Juni-Update für den Adobe Flash Player im Zuge eines Upgrades auf die Softwareversion 18.0.0.160 geschlossen. Viele Nutzer jedoch setzen weiterhin die Vorgängerversion (17.0.0.188) ein und sind deshalb dem Infektionsrisiko ausgesetzt.
Folgende Top-Ten-Liste gibt die Länder wieder, die aktuell am meisten von dieser Bedrohung betroffen sind:
- USA
- Kanada
- Großbritannien
- Deutschland
- Frankreich
- Australien
- Italien
- Türkei
- Indien
- Belgien
Ein wiederkehrendes Problem
Bei der Bedrohung handelt es sich um ein weiteres Beispiel dafür, wie Cyberkriminelle in kurzer Zeit mittels Exploit Kits erst kürzlich gepatchte Sicherheitslücken ausnutzen. Im März haben wir einen ähnlichen Fall beobachtet. Damals wurden Exploits für eine Sicherheitslücke im Adobe Flash Player nur eine Woche nach Veröffentlichung des Patches dem Nuclear Exploit Kit hinzugefügt. Und Anfang dieses Monats haben wir festgestellt, dass Flash Player in verstärktem Maße mittels Exploit Kits angegriffen wird. Leider sieht es nicht danach aus, dass sich an dieser Situation bald etwas ändern wird:
Abbildung 1: Für Tests genutzte Flash-Version
Das Beispiel einer Shockwave-Flash (SWF)-Datei, die uns erreicht hat, nutzt secureSWF und zwei Shader für den eigentlichen Exploit-Code, um die dahinter stehenden bösen Absichten stark zu verschleiern.
Abbildung 2: Im Exploit-Code verwendete Shader
Weit verbreitete Exploit Kits wie Magnitude werden in der Regel mit neuen Sicherheitslücken auf dem aktuellen Stand gehalten. Unsere Untersuchungen auf diesem Gebiet zeigen, dass Magnitude neben SweetOrange und Angler zu den bei Cyberkriminellen beliebtesten Exploit Kits zählt.
CryptoWall ist schon für sich genommen eine ernst zu nehmende Bedrohung. Im vergangenen Jahr wurde CryptoWall über Spam verbreitet, später auch zusammen mit FAREIT, einer Malware für Informationsdiebstahl.
Abbildung 3: Ransomware-Anzeige
Trend Micro schützt mit seinen Lösungen Anwender vor dieser Bedrohung. Die Trend Micro-Sandbox als Teil von Trend Micro™ Deep Discovery kann mit Hilfe der „Script Analyzer Engine“ die Bedrohung aufgrund ihres Verhaltens aufspüren, ohne dass dafür Updates der Engine oder der Pattern notwendig wären. In den Endpoint-Produkten wie Trend Micro™ Security, OfficeScan und Worry-Free Business Security blockt die Funktionalität „Browser Exploit Prevention“ den Exploit, sobald der Anwender die URL der Seite ansteuert, auf der er gehostet wird. „Browser Exploit Prevention“ schützt vor Exploits, die es auf Browser und ihre Plug-ins abgesehen haben.
Anwender sollten auf die neueste Flash-Player-Version aktualisieren. Diese Bedrohung erinnert wieder einmal daran, wie wichtig regelmäßige Updates sind. Unseren Beobachtungen nach aktualisiert Google Chrome seine eigene eingebettete Flash-Player-Version automatisch.
Der SHA1 des bösartigen Adobe-Flash-Exploits lautet:
- 16ad317b7950c63720f9c7937a60ee3ea78cc940
Der Blogeintrag entstand unter Mitwirkung von Brooks Li und Joseph C Chen.