Flash-Lücke ermöglichte Angriff auf RSA

RSA schildert in einem Blog den Angriff auf SecurID-Tokens. Die Attacke wurde durch E-Mails mit Malware-Dateianhängen gestartet. Die dabei ausgenutzte Lücke ist von Adobe bereits geschlossen worden.

Logo Flash

Der Angriff auf den Anbieter von Sicherheitslösungen RSA, bei dem die Hacker wichtige Informationen stahlen, wurde durch eine Sicherheitslücke in Adobe Flash ermöglicht. Das schreibt Uri Rivner, Head of New Technologies, Consumer Identity Protection, in einem Blog-Beitrag. Durch den im März entdeckten Angriff waren technische Informationen über die SecurID-Tokens des Unternehmens für Zwei-Faktor-Authentifizierung entwendet worden.

Laut Rivner haben die Angreifer zunächst zwei getrennte Gruppen von RSA-Angestellten mit zwei E-Mails aufs Korn genommen. Unter den Empfängern der Mails in beiden Gruppen wären „keine besonders auffälligen oder wichtigen Ziele“ gewesen. Als Dateianhang hätten beide Sendungen eine Excel-Datei mit dem Titel „2011 Recruitment Plan“ (Rekrutierungsplan für 2011) enthalten, die einen Zero-Day-Exploit ausnutzte, um über Flash eine Backdoor auf den Systemen zu installieren. So bekamen die Angreifer an den Sicherheitsvorkehrungen des Unternehmens vorbei Zugriff auf die Rechner der Angestellten.

Mit diesem Zugriff sei es den Hackern möglich gewesen, ein schwer zu entdeckendes Fernsteuerungsprogramm mit dem Namen „Poison Ivy“ (Gift-Efeu) auf wenigstens einem der betroffenen Computer zu installieren. Diese Software wiederum diente als Werkzeug, um Zugangsdaten zu sammeln und sich höhere Systemrechte zu ergaunern, liest man in dem Blog. Schließlich hätten die Angreifer einen Zugang zu wirklich wertvollen Zielen erhalten. Laut Rivner ging es um „Experten für Prozesse, IT- und nicht IT-spezifische Server-Administratoren“.

Zu dem von Rivner beschriebenen Zeitpunkt konnten die Cracker auf RSA-Staging-Server zugreifen, die an wichtigen Sammelpunkten des Firmennetzes lokalisiert waren. So bewegten sie sich durch das Netz, sammelten Daten und kopierten sie auf die Staging-Server, wo das digitale Diebesgut gesammelt, komprimiert und verschlüsselt wurde.

Schließlich transportierten die Hacker nach Rivners Angaben die passwortgeschützten Dateien im RAR-Format (Roshal Archive) über das FTP-Protokoll (File Transfer Protocol) von dem RSA-Server auf einen externen Staging-Server, der auf einer kompromittierten Maschine bei einem Hosting-Provider lief. Von diesem Rechner besorgten sich die Angreifer schließlich ihre Beute und löschten ihre Spuren auf der kompromittierten Maschine. Adobe hat am 14. März einen Patch für die ausgenutzte Sicherheitslücke veröffentlicht.

Themenseiten: Big Data, Datendiebstahl, Flash, Hacker, RSA, Spyware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Flash-Lücke ermöglichte Angriff auf RSA

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *