Drive-by-Cache

Amnesty International verteilte Zero-Day-Flashexploit

Wer die internationale Webseite von Amnesty International in den vergangen Tagen besucht und Adobes Notfallpatch nicht installiert hat, der hat sich vermutlich Schadsoftware eingefangen. Die Angreifer nutzten die bekannte Sicherheitslücke sehr schnell aus und griffen auf eine ungewöhnliche Technik zurück.

Artikel veröffentlicht am ,
Drive-by-Cache: Amnesty International verteilte Zero-Day-Flashexploit

Die internationale Webseite von Amnesty International hat an ihre Besucher Schadsoftware verteilt. Genutzt wurde für die Installation eine Sicherheitslücke im Flash Player von Adobe.

Stellenmarkt
  1. DevOps Engineer (m/w/d)
    aconso AG, Bielefeld
  2. Systemprogrammierer Netzbetrieb (m/w/d)
    htp GmbH, Hannover
Detailsuche

Die bekannte und seit wenigen Tagen geschlossene Sicherheitslücke im Flash Player wurde zuerst hauptsächlich für gezielte Angriffe benutzt. Opfer bekamen Office-Dokumente mit eingebetteten Flash-Inhalten zugeschickt, die bei der Ausführung zu einer Infektion führten.

Das Besondere an dem Angriff ist der Umstand, dass Virenscanner nahezu vollständig versagten, wie die Sicherheitsfirma Armorize in ihrem Blog berichtet. Grund ist eine Drive-by-Cache genannte Technik. Dabei wird die Schadsoftware mit einer falschen Dateiendung zunächst heruntergeladen und liegt dann im Browser-Cache, ohne ausgeführt zu werden. Virenscanner erwarten ein solches Verhalten nicht und so kann ein Exploit nach dem Download unbehelligt die Schadsoftware im Cache suchen und sie ausführen. Drive-by-Download-Techniken arbeiten andersherum und starten den Download der Schadsoftware nach der Exploitausführung. Im Fall von Amnesty International haben die Angreifer bei den Opfern laut Huang eine Backdoor platziert.

The Tech Herald sagte Armorize-Mitarbeiter Wayne Huang, dass die Technik bereits seit Anfang des Jahres im Einsatz ist. Eine Gruppe, die Drive-by-Cache nutzt, konzentriert sich vor allem auf Webseiten von Menschenrechtsorganisationen sowie Regierungsseiten. Die Gruppe ist Huang selbst neu und soll über eine gute Ausstattung verfügen. Die Angreifer setzen vor allem auf unbekannte Zero-Day-Exploits.

Da Armorize bereits am 16. April 2011 in den USA von dem Angriff berichtete und die Webseite mindestens eine Woche zuvor infiziert wurde, gab es praktisch keinen Schutz gegen den Angriff. Adobe konnte erst am späten Abend europäischer Zeit des 15. April 2011 das Sicherheitsproblem schließen. Zahlreiche Anwender werden bis heute nicht reagiert haben, da der Adobe-Updater seine Anwender nicht immer zeitnah über neue Updates unterrichtet.

Amnesty Deutschland bestätigte die Infektion auf Nachfrage. Betroffen war offenbar nur die internationale Webseite und nur Windows-Nutzer waren der Gefahr einer Infektion ausgesetzt. Hinweise auf die Verteilung der Schadsoftware gibt es auf der Amnesty-Webseite nicht.

Prinzipiell sind alle Betriebssysteme gefährdet, die einen Flash Player nutzen. Adobes zum Wochenende veröffentlichter Flash-Notfallpatch sollte auf jeden Fall installiert werden.

Weitere Informationen finden sich im Blog von Armorize. Da dort Schadcode hinterlegt ist, springt eventuell der Virenscanner an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik
CATL stellt erste Natrium-Ionen-Akkus für Autos vor

160 Wh pro Kilogramm. 80 Prozent Akkuladung in 15 Minuten. 90 Prozent Kapazität bei minus 20 Grad Celsius. CATL startet eine neue Ära der Akku-Technik.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: CATL stellt erste Natrium-Ionen-Akkus für Autos vor
Artikel
  1. Erneuerbare Energien: Größte Gezeitenturbine geht vor Schottland in Betrieb
    Erneuerbare Energien
    Größte Gezeitenturbine geht vor Schottland in Betrieb

    Die Meere bieten viel Energie, die sich in elektrischen Strom wandeln lässt. In Schottland ist gerade ein neues Gezeitenkraftwerk ans Netz gegangen.

  2. Spionagesoftware: Israelische Behörden überprüfen Pegasus-Hersteller NSO
    Spionagesoftware
    Israelische Behörden überprüfen Pegasus-Hersteller NSO

    War es eine Razzia oder eine freundliche Besichtigung? Der diplomatische Druck auf Israel wegen des Trojaner-Herstellers NSO zeigt offenbar Wirkung.

  3. Verschlüsselung: Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen
    Verschlüsselung
    Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen

    Eine mit Bitlocker verschlüsselte SSD mit TPM-Schutz lässt sich relativ einfach knacken. Ein Passwort schützt, ist aber nicht der Standard.

unsigned_double 21. Apr 2011

Man fühlt sich nicht "gepiekst" aufgrund der Tatsache dass du stark überteuerte...

/mecki78 20. Apr 2011

Ich meine, nachdem 1&1 ja sogar TV Werbung dafür schaltet, dass das LG Optimus Black...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional günstiger • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen (u. a. 14" 64GB 229€) • Alternate (u. a. Deepcool-Gehäuselüfter ab 24,99€) • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Philips-Fernseher 65" Ambilight 679€ [Werbung]
    •  /