Adobe und Microsoft veröffentlichen Patcht für nordkoreanischen Zero-Day in Flash

Microsoft und Adobe veröffentlichen einen Patch für Windows, das Anwender vor einem Zero-Day-Exploit in Adobes Flash Player schützt. Nordkoreanische Hacker hatten über Excel-sheets ein bisher unbekanntes Leck in Adobes Flash genutzt. Forscher von Cisco Talos haben die betreffende Hackergruppe als Group 123 identifiziert. Über ein Leck in Flash und in Excel propagierten diese das ROKRAT-Tool, das für Remote-Zugriff auf Rechner verwendet wird, um darüber beliebigen Code auf den angegriffenen Systemen auszuführen.

So konnten entfernte Angreifer auf Windows, macOS, Linux und Chorme OS die vollständige Kontrolle über ein System übernehmen, wie Adobe in einem Advisory warnte. Allerdings, so erklärte der Hersteller, seien nur wenige Angriffe bekannt, die über dieses Leck ausgeführt werden. Daher hatte sich Adobe auch rund eine Woche Zeit mit der Entwicklung der Aktualisierung gelassen und mit der Veröffentlichung bis zum regulären Adobe-Patchday gewartet. Offiziell gemeldet wurde das Leck zunächst von dem südkoreanischen CERT, das dem Schädling die Kennung CVE-2018-4878 verlieh und auch erklärte, dass das Leck ausgenutzt wird.

Mit dem Update auf die Flash-Player-Version 28.0.0.161 wird der Pfad geschlossen, der es ermöglicht, per Fernzugriff auf Windows, macOS und Chrome OS Code auszuführen. Nachdem aber Microsoft die Verantwortung zufällt, den Flash-Player im Internet Explorer und in Edge zu aktualisieren, teilt das Unternehmen jetzt mit, dass es mit einem außerplanmäßigen Sicherheitsupdate die Adobe-Komponente aktualisiert.

Eine detaillierte Untersuchung des Schädlings lieferte die Cisco-Sicherheits-Tochter Talos in einem Blogeintrag. In dem Excel-Sheet der Group 123 wurde ein ActiveX-Objekt integriert, das über eine bösartiges Flash-File das Tool ROKRAT von einem gekaperten Web-Server herunter lud. Laut Talos, war es das erste Mal, dass diese Gruppe ein Zero-Day verwendete. Es liegt daher nahe, dass die potentiellen Opfer sehr genau ausgesucht wurden und für die Hacker offenbar von großem Wert waren.

Ein Analyse von FireEye bestätigt diese Einschätzung. Group 123 TEMP.Reaper interagieren demnach über nordkoreanische IP-Adressen mit den Command-and-Controll-Servern. Dabei seien die meisten Ziele in Südkorea und hier in der Regierung, dem Militär oder in der Rüstungsindustrie beheimatet.

Daneben hat Adobe ein weiteres Use-After-Free-Leck in Flash behoben, über das ebenfalls remote Code ausgeführt werden konnte. Die Flash Player, die in Chrome, Edge und dem Internet Explorer 11 installiert sind, werden automatisch mit dem Update versorgt.

Flash Player, lange Zeit eine der wichtigsten Angriffvektoren und häufig das Produkt mit den meisten Sicherheitslecks, wird Ende Dezember 2020 auslaufen. Künftig wird HTML5 die Funktionen von Flash übernehmen. Einige Hersteller wie Google werden wohl auch schon im Vorfeld den Support beenden.