Attacke auf Forbes.com: Chinesische Hacker verketten Zero-Days in Flash und ASLR

Selbst der Besuch seriöser Websites kann unangenehme Folgen haben. Hacker kombinierten verschiedene Sicherheitslücken im Flash Player und Internet Explorer , um gezielt US-Rüstungsunternehmen, Regierungsstellen und Finanzdienste über Forbes.com anzugreifen.

12. Februar 2015 um 11:33 Uhr / Friedhelm Greis

19 Kommentare News folgen (öffnet im neuen Fenster)

Die Malware wartete am Wasserloch Forbes.com auf ihre Opfer. (Bild: www.invincea.com) — Die Malware wartete am Wasserloch Forbes.com auf ihre Opfer. Bild: www.invincea.com

US-Sicherheitsunternehmen haben einen ausgefeilten Angriff auf zahlreiche Unternehmen der Rüstungsindustrie und des Finanzsektors sowie von Regierungsstellen und Think Tanks in den USA aufgedeckt. Die Attacke habe bereits Ende November 2014 stattgefunden und mehrere bis dato unbekannte Sicherheitslücken im Flash Player und Internet Explorer ausgenutzt, berichteten die Sicherheitsfirmen Invincea(öffnet im neuen Fenster) und Isights Partners(öffnet im neuen Fenster) . Der Angriff wird der chinesischen Hackertruppe Codoso zugeschrieben, die bereits ähnliche Attacken auf das norwegische Friedensnobelpreiskomitee und ethnische Minderheiten in China ausgeführt haben soll.

Den Berichten zufolge nutzten die Hacker zunächst eine unbekannte Sicherheitslücke in Adobes Flash Player aus, die am 9. Dezember 2014 gepatcht wurde ( CVE-2014-9163(öffnet im neuen Fenster) ). Dieser Zero-Day-Exploit ermöglichte durch einen Pufferüberlauf dem Angreifer die Ausführung von Code. Dabei infizierten die Hacker den "Gedanken des Tages" , der dem Besuch der eigentlichen Website vorgeschaltet ist. Beim Aufruf der Seite wurde auf eine URL umgeleitet, um das schädliche Flash-Exploit herunterzuladen. Dieses installierte eine DLL-Datei auf dem Zielrechner, die dessen Systemeigenschaften komplett ausspähte und ihn nach offenen VPN-Verbindungen durchsuchte. Der Angriff soll alles in allem sieben Sekunden gedauert haben.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Advanced Python – Advanced Programming Techniques: 3-Day Virtual Seminar (English)

zum Kurs

E-Learning: Microsoft 365 Security Administrator Associate (E-Learning)

zum Kurs

ASLR-Mechanismus ausgehebelt

Den Sicherheitsexperten zufolge nutzten die Hacker für den Angriff zusätzlich eine Zero-Day-Lücke in den Versionen 9 bis 11 des Internet Explorers aus, die in dieser Woche erst gepatcht wurde ( CVE-2015-0071(öffnet im neuen Fenster) ). Diese Lücke erlaubte es Angreifern, den sogenannten ASLR-Schutzmechanismus(öffnet im neuen Fenster) auszuhebeln. Diese Randomisierung des Speicherlayouts soll eigentlich vor Sicherheitslücken durch Fehler in der Speicherverwaltung schützen. In Absprache mit Microsoft wurde über die Lücke nicht vor dem Februar-Patchday(öffnet im neuen Fenster) berichtet.

Nach Ansicht von Invincea ist ein kombinierter Zero-Day-Angriff in der Welt von Cyberangriffen ein "Einhorn" , vergleichbar mit der staatlichen Cyberwaffe Stuxnet(öffnet im neuen Fenster) . Obwohl die Webseite Forbes.com sehr stark besucht werde (Platz 61 in den USA und Platz 168 weltweit), habe die Attacke nicht dem Millionenpublikum, sondern genau ausgewählten Zielen gegolten. Von den 20.000 Firmen, die Invincea-Produkte nutzten, seien nur wenige aus dem Bereich Finanzen und Rüstung infiziert worden. Angriffe nach diesem Prinzip werden als Wasserlochattacken ( Watering hole(öffnet im neuen Fenster) ) bezeichnet, weil sie Seiten infizieren, von denen angenommen wird, dass sie das Opfer regelmäßig besucht.

Zur Startseite 19 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

ASLR-Mechanismus ausgehebelt

Relevante Themen