Skip to content

0-Day-Exploit für Flash Player unterwegs - Adobe patcht außer der Reihe

Adobe hat am 26. Oktober außer der Reihe ein Security Bulletin zu einer kritischen 0-Day-Schwachstelle im Flash Player veröffentlicht. Updates stehen für Windows, Mac OS X, Linux und Chrome OS bereit.

Auch für den in Microsoft Edge und IE 10 und 11 integrierten Flash Player wurden Updates von Adobe bereitgestellt, die muss Microsoft aber noch veröffentlichen.

Update 28.10.:
Microsoft hat ein Security Bulletin (MS16-128) veröffentlicht, die Updates stehen bereit.
Ende des Updates

Die Schwachstelle mit der CVE-ID CVE-2016-7855 wird bereits im Rahmen gezielter Angriffe auf Rechner mit Windows 7, 8.1 und 10 eingesetzt.

Außer, dass die Schwachstelle bereits für gezielte Angriffe ausgenutzt wird, hat Adobe nur verraten, dass es eine Use-after-free-Schwachstelle ist, die zur Ausführung eingeschleusten Codes ausgenutzt werden kann. Gemeldet wurde sie von Neel Mehta und Billy Leonard von Googles Threat Analysis Group. Weitere Informationen sind bisher nicht bekannt.

Damit wird der Flash Player mal wieder seinem Ruf als Lieblingsziel der Angreifer gerecht: Nachdem nach Microsofts Oktober-Patchday (an dem Adobe kein Update für den Flash Player veröffentlichte) der Flash Player "nur" noch für die Hälfte der 0-Day-Exploits dieses Jahres verantwortlich war, steht es nun immerhin wieder 5:4 für den Flash Player.

Ach ja: Statt den Flash Player immer wieder zu patchen (auch 2015 ging die Hälfte aller 0-Day-Exploits auf seine Kappe) könnten Sie das Problem auch ganz einfach bei der Wurzel packen und den Flash Player einfach komplett entsorgen. Es sei denn, Sie verwenden Chrome, Edge oder IE 11, da hat man ihnen den digitalen Sondermüll leider fest eingebaut, und nun werden sie ihn nicht mehr los.

Update 1.11.:

0-Day-Exploit auch für Windows

Google hat bekanntgegeben, dass es auch einen 0-Day-Exploit für Windows "in the wild" gibt. Der Exploit erlaubt eine lokale Privilegieneskalation und dadurch den Ausbruch aus der Sandbox. Vermutlich wurde der Exploit in Verbindung mit dem für den Flash Player eingesetzt. Zumindest liegt das nah, da Google die Exploits parallel an Adobe bzw. Microsoft gemeldet hat.

Doch während Adobe kurzfristig einen Patch für die Schwachstelle entwickelte und Updates veröffentlichte, reagierte Microsoft nicht. Weshalb Google die Existenz des Exploits gemäß der eigenen Policy für den Umgang mit öffentlich ausgenutzten Schwachstellen nach 7 Tagen bekannt gegeben hat. Wovon Microsoft gar nicht begeistert ist.

Was auf den ersten Blick verständlich ist, denn je nach Komplexität der betroffenen Software sind 7 Tage wirklich ziemlich knapp, um einen Patch zu entwickeln und ausführlich zu testen. Aber Google wäre auch mit der Veröffentlichung eines Security Advisories mit möglichen Schutzmaßnahmen zufrieden gewesen. Was Microsoft aber nicht für nötig hielt. Da Microsoft die Google-Policy mit Sicherheit kennt kann ich da nur sagen: Pech gehabt. Microsoft hätte ja selbst ein Advisory veröffentlichen können, dann hätte Google nichts gemacht.

Aber Microsoft tut sich generell schwer mit dem Warnen vor laufenden Angriffen. Es werden immer wieder im Rahmen der regulären Patchdays Schwachstellen behoben, die bereits für Angriffe ausgenutzt werden. Eine Warnung vor diesen laufenden Angriffen hat man bisher nie für nötig gehalten. Die gibt es nur, wenn es so viele Angriffe gibt, dass man die Schwachstelle außer der Reihe behebt. Aber bei Schwachstellen, die im Rahmen des regulären Patchdays behoben werden, lässt man seine Benutzer ohne Warnung ins offene Messer laufen.

Kommen wir zur Frage, wie gefährlich die Situation denn ist. Der Exploit für den Flash Player kann durch die Installation des Updates abgewehrt werden, so dass die aktuellen Angriffe nicht mehr funktionieren. Aber nichts und niemand kann die Cyberkriminellen daran hindern, die Privilegieneskalation in Verbindung mit einer anderen Schwachstelle auszunutzen. Ob sie das tun, kann niemand in Voraus sagen. Es ist ja nicht mal bekannt, wer angegriffen wird oder wer angreift.

Ebensowenig lässt sich mit Sicherheit sagen, ob andere Cyberkriminelle Googles Informationen nutzen, um einen eigenen 0-Day-Exploit für die Privilegieneskalation zu entwickeln. Ich halte das aber für unwahrscheinlich, dafür hat Google zu wenig Informationen veröffentlicht. Die Cyberkriminellen wissen jetzt zwar, wo sie nach der Schwachstelle suchen müssen, aber ich glaube nicht, dass sie sich die Mühe machen. Wenn es eine Remote Code Execution wäre vielleicht, aber kaum für eine Privilegieneskalation. Um die auszunutzen, brauchen sie ja zusätzlich eine RCE-Schwachstelle. Und wer die bereits hat, wird auch eine Möglichkeit haben, aus der Sandbox auszubrechen, falls das nötig ist.

Warum sollten die Cyberkriminellen also nach einer Privilegieneskalations-Schwachstelle suchen, von der sie jetzt schon wissen, dass sie eher früher als später behoben wird? Ich glaube daher nicht, dass Google die Windows-Nutzer wirklich stärker gefährdet hat als Microsoft es bereits durch seine Untätigkeit getan hat.

Und wie sieht es mit einem Schutz vor den Angriffen aus? Die Sandbox von Chrome blockiert die für die Privilegieneskalation benötigten win32k.sys-Systemaufrufe mit Hilfe der Win32k Lockdown Mitigation von Windows 10, so dass die Schwachstelle in Chrome unter Windows 10 nicht ausgenutzt werden kann. Da Microsoft für den besten Schutz vor der Schwachstelle die Nutzung von Windows 10 und Edge empfiehlt, scheint für Edge das gleiche zu gelten. Wie es mit den anderen Browsern aussieht ist nicht bekannt, ebensowenig wie mit anderen Programmen. Windows 10 ist allerdings in beiden Fällen zwingend erforderlich, da es nur dort die benötigte Mitigation gibt.

Ende des Updates vom 1.11.

Update 8.11.:
Microsoft hat die Schwachstelle am November-Patchday behoben. Sie hat die CVE-ID CVE-2016-7255.
Ende des Updates vom 8.11.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2016 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2016 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014 und 2015. Nummer

Dipl.-Inform. Carsten Eilers am : November-Patchday: Wieder mal ein 0-Day-Exploit für Windows unterwegs

Vorschau anzeigen
Am November-Patchday hat Microsoft wieder mehrere 0-Day-Schwachstellen behoben. Darunter auch eine, die bereits ausgenutzt wird, um Code einzuschleusen. Damit steht es beim "Wettstreit" um die meisten 0-Day-Exploits zwischen Adobe und dem