Adobe und Microsoft veröffentlichen Patcht für nordkoreanischen Zero-Day in Flash

Sicherheitsforscher von Cisco Talos hatten den Workflow des Schädlings erforscht. Der Exploit soll seinen Ursprung in Nordkorea haben. Der Exploit soll vor allem für Spionage-Aktivitäten in Südkorea eingesetzt worden sein.

Microsoft und Adobe veröffentlichen einen Patch für Windows, das Anwender vor einem Zero-Day-Exploit in Adobes Flash Player schützt. Nordkoreanische Hacker hatten über Excel-sheets ein bisher unbekanntes Leck in Adobes Flash genutzt. Forscher von Cisco Talos haben die betreffende Hackergruppe als Group 123 identifiziert. Über ein Leck in Flash und in Excel propagierten diese das ROKRAT-Tool, das für Remote-Zugriff auf Rechner verwendet wird, um darüber beliebigen Code auf den angegriffenen Systemen auszuführen.

So konnten entfernte Angreifer auf Windows, macOS, Linux und Chorme OS die vollständige Kontrolle über ein System übernehmen, wie Adobe in einem Advisory warnte. Allerdings, so erklärte der Hersteller, seien nur wenige Angriffe bekannt, die über dieses Leck ausgeführt werden. Daher hatte sich Adobe auch rund eine Woche Zeit mit der Entwicklung der Aktualisierung gelassen und mit der Veröffentlichung bis zum regulären Adobe-Patchday gewartet. Offiziell gemeldet wurde das Leck zunächst von dem südkoreanischen CERT, das dem Schädling die Kennung CVE-2018-4878 verlieh und auch erklärte, dass das Leck ausgenutzt wird.

Mit dem Update auf die Flash-Player-Version 28.0.0.161 wird der Pfad geschlossen, der es ermöglicht, per Fernzugriff auf Windows, macOS und Chrome OS Code auszuführen. Nachdem aber Microsoft die Verantwortung zufällt, den Flash-Player im Internet Explorer und in Edge zu aktualisieren, teilt das Unternehmen jetzt mit, dass es mit einem außerplanmäßigen Sicherheitsupdate die Adobe-Komponente aktualisiert.

Eine detaillierte Untersuchung des Schädlings lieferte die Cisco-Sicherheits-Tochter Talos in einem Blogeintrag. In dem Excel-Sheet der Group 123 wurde ein ActiveX-Objekt integriert, das über eine bösartiges Flash-File das Tool ROKRAT von einem gekaperten Web-Server herunter lud. Laut Talos, war es das erste Mal, dass diese Gruppe ein Zero-Day verwendete. Es liegt daher nahe, dass die potentiellen Opfer sehr genau ausgesucht wurden und für die Hacker offenbar von großem Wert waren.

Der Zero-Day-Exploit geht offenbar auf das Konto nordkoreanischer Hacker die damit gezielt Personen der Regierung oder des Militärs ausspähen wollten (Bild: Cisco Talos). Der Zero-Day-Exploit geht offenbar auf das Konto nordkoreanischer Hacker die damit gezielt Personen der Regierung oder des Militärs ausspähen wollten (Bild: Cisco Talos).

Ein Analyse von FireEye bestätigt diese Einschätzung. Group 123 TEMP.Reaper interagieren demnach über nordkoreanische IP-Adressen mit den Command-and-Controll-Servern. Dabei seien die meisten Ziele in Südkorea und hier in der Regierung, dem Militär oder in der Rüstungsindustrie beheimatet.

Daneben hat Adobe ein weiteres Use-After-Free-Leck in Flash behoben, über das ebenfalls remote Code ausgeführt werden konnte. Die Flash Player, die in Chrome, Edge und dem Internet Explorer 11 installiert sind, werden automatisch mit dem Update versorgt.

Flash Player, lange Zeit eine der wichtigsten Angriffvektoren und häufig das Produkt mit den meisten Sicherheitslecks, wird Ende Dezember 2020 auslaufen. Künftig wird HTML5 die Funktionen von Flash übernehmen. Einige Hersteller wie Google werden wohl auch schon im Vorfeld den Support beenden.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Themenseiten: Adobe, Cisco, FireEye, Flash Player, Microsoft, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Adobe und Microsoft veröffentlichen Patcht für nordkoreanischen Zero-Day in Flash

Kommentar hinzufügen
  • Am 9. Februar 2018 um 7:53 von Fritz - Ulrich Hein

    Zu allem Glück fehlt mir jetzt nur noch der Link zur Aktualisierung des Flash Player Endzahl 161

    • Am 9. Februar 2018 um 8:45 von Martin Schindler

      Sehr geehrter Herr Hein,

      Vielen Dank für Ihre Mitteilung. Die betreffenden Herstellerinformationen finden sie in den beiden Links zu Beginn des Textes. Über Adobe (https://helpx.adobe.com/security/products/flash-player/apsb18-03.html) kommen Sie zu dem entsprechenden Sicherheitsbulletin, wo dann auch für verschiedene Plattformen Updates zum Download angeboten werden.

      Mit freundlichen Grüßen

      Martin Schindler

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *