Skip to content

Den 0-Day-Exploit des Dezembers präsentiert mal wieder Adobe

Es gibt mal wieder einen 0-Day-Exploit. Und wie schon fünf von elf mal in diesem Jahr ist mal wieder der Flash Player Ziel der Angriffe. Damit geht mal wieder die Hälfte aller 0-Day-Exploits aufs Konto des Flash Players (6/12). Auch 2015 waren es 9 der 18 veröffentlichten 0-Day-Exploits. Für was braucht man das Ding doch gleich noch? Bei mir ist der schon ewig nicht mehr installiert, und bisher habe ich ihn nie vermisst. Da drängt sich der Verdacht auf, dessen einziger wirklicher "Nutzen" besteht darin, darüber Schädlinge zu verbreiten.

Aber es ist ja nicht nur bei Adobe Patchday, sondern auch bei Microsoft. Die haben zwar auch wieder einige 0-Day-Schwachstellen behoben, nur werden die bisher nicht ausgenutzt. Wozu auch, wenn es den Flash Player gibt? Mehr als einmal muss man einen Rechner ja nicht kompromittieren.

Wenn Sie jetzt wissen möchten, ob ich was gegen den Flash Player habe: Ja, das habe ich. Ich halte ihn für die gefährlichste Software, die man auf seinem Rechner installieren kann. Und es gibt sogar ein wirksames Mittel dagegen (so lange Sie nicht Chrome oder Edge nutzen): Löschen Sie den digitalen Sondermüll einfach, danach surft es sich sehr viel sicherer.

Chrome- und Edge-Nutzer haben leider Pech: Die haben zwar moderne Browser, aber den Flash Player eingebaut. Wobei zumindest Chrome inzwischen HTML5 dem Flash Player vorzieht und den Flash Player in Kürze nur noch verwendet, wenn der Benutzer es ausdrücklich will.

Das wurde ja auch Zeit, nachdem sogar Adobe 2015 erkannt hat, dass HTML5 die Gegenwart ist und eigentlich niemand außer den Cyberkriminellen noch den Flash Player braucht. Und damit die Cyberkriminellen sich nicht beklagen können, hat man angekündigt, einen HTML5 Videoplayer für Desktop-Browser zu entwickeln. Ähhh... die aktuellen Browser unterstützen HTML5-Videos bereits von Haus aus, wofür braucht man da ein Plugin? Und dann auch noch von Adobe? Also mir fällt dazu nur eine Antwort ein: Als Ersatz für den Flash Player. Als Einfallstor Nummer 1. So ein Spitzenplatz muss schließlich verteidigt werden.

Aber genug gelästert, kommen wir zu den 0-Day-Schwachstellen und vor allen dem

0-Day-Exploit für den Flash Player

Das reguläre Update für den Flash Player behebt 17 Schwachstellen. Eine davon wird bereits für gezielte Angriffe auf Windows mit einem 32-Bit Internet Explorer ausgenutzt: CVE-2016-7892.

Adobe schreibt dazu nur:

"Adobe is aware of a report that an exploit for CVE-2016-7892 exists in the wild, and is being used in limited, targeted attacks against users running Internet Explorer (32-bit) on Windows."

Weitere Informationen gibt es bisher nicht. Laut Adobes Danksagungen wurde die Schwachstelle anonym gemeldet.

Bei "limited, targeted attacks" kann man aber wohl davon ausgehen, dass das mal wieder "staatlich gesponserte" Angreifer sind und die Opfer entweder irgend was mit dem Militär, dessen Lieferanten etc. zu tun haben, oder zu einer einem Staat störenden Gruppierung wie z.B. Menschenrechtsaktivisten etc. gehören.

Kommen wir zu den von Microsoft behobenen 0-Day-Schwachstellen. Von denen bisher wie schon erwähnt keine für Angriffe ausgenutzt wird.

MS16-144 - Drei 0-Day-Schwachstellen im Internet Explorer

Das Security Bulletin MS16-144 ist für den IE zuständig. Von den behobenen Schwachstellen waren drei bereits vor der Veröffentlichung der Updates öffentlich bekannt:

CVE-2016-7282 - "Microsoft Browser Information Disclosure Vulnerability"

Es gibt ein nicht näher beschriebenes Informationsleck. Die darüber ausspähbaren Informationen kann ein Angreifer laut Microsoft nutzen, um das System weiter zu kompromittieren.

CVE-2016-7281 - "Microsoft Browser Security Feature Bypass Vulnerability"

Skripte, die in einem Web Worker laufen, können die Same Origin Policy umgehen und dadurch z.B. vertraulicher Informationen anderer Websites ausspähen.

CVE-2016-7202 - "Scripting Engine Memory Corruption Vulnerability"

Eine Memory-Corruption-Schwachstelle in der Scripting-Engine erlaubt das Ausführen eingeschleusten Codes und kann z.B. für Drive-by-Infektionen ausgenutzt werden.

Die Schwachstelle wurde bereits am November-Patchday in Edge behoben (MS16-129).

Da die Schwachstelle damals noch nicht öffentlich bekannt war ist Microsoft indirekt selbst dafür verantwortlich, dass es nun eine 0-Day-Schwachstelle ist. Man hat sie damals ja selbst veröffentlicht.

Die Zero Day Initiative, über die die Schwachstelle u.a. an Microsoft gemeldet wurde, hat im November ein Advisory zur Schwachstelle veröffentlicht.

Interessant ist, bei wem sich Microsoft für die Meldung der Schwachstelle bedankt: Im November waren es

  • bee13oy von den CloverSec Labs, der die Schwachstelle über die Zero Day Initiative (ZDI) gemeldet hat,
  • Natalie Silvanovich von Googles Project Zero und
  • Scott Bell von Security-Assessment.com.

Nun ist es nur Scott Bell. Entweder haben die anderen beiden damals nicht bemerkt, dass die Schwachstelle außer Edge auch den IE betrifft, oder Scott Bell hat nach der Veröffentlichung des Edge-Updates herausgefunden, dass auch der IE betroffen ist.

MS16-145 - Zwei 0-Day-Schwachstellen in Edge

Das Security Bulletin MS16-145 ist für Edge zuständig. Von den behobenen Schwachstellen waren zwei bereits vor der Veröffentlichung der Updates öffentlich bekannt:

CVE-2016-7206 - "Microsoft Edge Information Disclosure Vulnerability"

Auch diese Schwachstelle ist laut Microsoft ein Informationsleck. Aber eins, dass es in sich hat. Denn Microsoft schreibt dazu:

"An attacker who exploited these vulnerabilities could run arbitrary code that could lead to an information disclosure."

Also: Die Schwachstelle erlaubt die Ausführung beliebigen Codes, der dann Informationen ausspähen kann? Erst mal kann "beliebiger Code" beliebige Schadfunktionen enthalten und nicht nur Informationen ausspähen. Und so eine Schwachstelle nennt man normalerweise nicht Informationsleck, sondern "Remote Code Execution". Sehr merkwürdig, das Ganze.

CVE-2016-7281 - "Microsoft Browser Security Feature Bypass Vulnerability"

Diese Schwachstelle kennen wir schon aus dem IE-Bulletin.

MS16-155 - Eine 0-Day-Schwachstelle im .NET-Framework

Das Security Bulletin MS16-155 ist für das .NET Framework zuständig. Die einzige behobene Schwachstelle war bereits vor der Veröffentlichung der Updates öffentlich bekannt:

CVE-2016-7270 - ".NET Framework Information Disclosure Vulnerabiltiy"

Ein Informationsleck im "Data Provider for SQL Server" erlaubt das Ausspähen von Daten, die eigentlich durch das "Always Encrypted"-Feature geschützt sein sollten. Ein Angreifer kann den für die Verschlüsselung verwendeten Schlüssel raten und die Daten entschlüsseln. Wozu er sie natürlich erst mal ausspähen muss.

Na, dann mal los...

Es gibt mal wieder ein paar Updates zu installieren. Bei Microsoft wartet man damit ja inzwischen leider besser, bis genug "Early Adopters" ihre Erfahrungen mit den Updates gesammelt haben. Sonst kann es schnell passieren, dass man danach ein absolut sicheres System hat. Weil es nicht mehr startet oder nicht mehr ins Internet kommt.

Beim Flash Player haben Sie die Wahl: Entweder Sie installieren das Update und stellen sich darauf ein, demnächst das nächste installieren zu müssen. Und dazwischen womöglich Opfer eines Angriffs mit einem neuen 0-Day-Exploit zu werden. Oder Sie deinstallieren den Flash Player und sind das Problem ein für alle Mal los. Sie haben also die Wahl: Auf der einen Seite Regen und Traufe gleichzeitig, auf der anderen Seite schöner Sonnenschein.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2016 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2016 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014 und 2015. Nummer