Vor vier Jahren gepatchte Adobe-Schwachstelle bedroht Website-Besucher

Sicherheitsforscher haben eine Schwachstelle in Adobes Flex-SDK-Compiler gefunden, die immer noch bekannte Websites betrifft, obwohl sie 2011 gepatcht wurde. Sie wurde bei der Konferenz Troopers 2015 präsentiert und anschließend von Mauro Gentile auf Full Disclosure veröffentlicht.

CVE-2011-2461 betrifft das Adobe Flex SDK 3.x und 4.x. Angreifer können aus der Ferne per HTML Scripts injizieren, indem sie das fürs Laden von Modulen genutzte System nutzen. So können sie Besuchern der betroffenen Sites Daten stehlen. Anfällige Flex-Anwendungen müssen erneut kompiliert oder gepatcht werden, um den von Adobe mit mittlerem Schweregrad bewerteten Fehler zu eliminieren.

Wurde eine Flash-Datei im .SWF-Format mit einem angreifbaren Flex-SDK kompiliert, ist der von den Forschern entwickelte Angriff realisierbar. Das Opfer, also den Besucher der Site, kann dann auch ein aktueller Browser und ein Flash-Plug-in auf dem neusten Stand nicht schützen.

Angreifer können durch Same-Origin Request Forgery Daten stehlen oder in deren Namen Aktionen auf der Site durchführen. Dazu müssen sie sich nur etwa eines vor vier Jahren oder früher kompilierten Flash-Films bedienen und ihn zwingen, ihren Schadcode zu laden.

Unter anderem führen mit den alten Versionen von Adobe Flex kompilierte Dateien keine ordnungsgemäße Validierung der Sicherheitsdomains von Modulen durch. Gentile schreibt: „Da HTTP-Anfragen Cookies enthalten und von der Domain des Opfers ausgehen, können HTTP-Antworten private Daten wie Anti-Cross-Site-Request-Forgery-Token und Nutzerinformationen enthalten.“

Gentile und seine Kollegen haben in großem Maßstab untersucht, wie verbreitet dieses Problem tatsächlich ist. Sie „ermittelten SWFs auf beliebten Websites und analysierten diese Dateien mit einem selbst geschriebenen Werkzeug, um Muster angreifbaren Codes zu entdecken.“ Man habe zahlreiche prominente Opfer gefunden, davon drei Sites, die sich in den Top 100 von Alexa finden.

„In den letzten Monaten haben wir unser Bestes getan, um einigen der größten Sites dieses Problem direkt zu vermitteln, aber ein größeres Publikum erreichen wir nicht, ohne die technischen Details öffentlich zu machen. Die vielen gefundenen anfälligen Anwendungen zeigen eindeutig, dass CVE-2011-2461 im Jahr 2011 nicht die nötige Aufmerksamkeit erhalten hat.“

Die Forscher haben nun ihr Java-Werkzeug ParrotNG verfügbar gemacht, das Flash-Dateien auf Verwundbarkeit prüft. Sie hoffen, damit das Problem dauerhaft ausrotten zu können. In den nächsten Tagen sollen zusätzliches Material und Fallstudien zu betroffenen Domains folgen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de