• IT-Karriere:
  • Services:

Zero-Day-Lücken: Angreifer verraten sich durch Virustotal-Upload

Zwei Sicherheitslücken im Adobe Reader und in Windows hätten für raffinierte Angriffe auf Windows-Rechner missbraucht werden können. Jedoch verrieten sich die Angreifer dadurch, dass sie ihre exklusiven Zero-Days selbst beim Dienst Virustotal einstellten.

Artikel veröffentlicht am ,
Noch einmal Glück gehabt: Die Sicherheitslücken wurden nicht ausgenutzt.
Noch einmal Glück gehabt: Die Sicherheitslücken wurden nicht ausgenutzt. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Zwei Zero-Day-Lücken, die von Microsoft und Adobe am Patch Tuesday im Mai geschlossen wurden, waren Teil eines raffinierten Angriffsszenarios auf Windows-PCs. Die bis dato unbekannten Lücken in Windows und im Adobe Reader hätten zusammen dazu missbraucht werden können, Windows-7-Nutzer anzugreifen - hätten die unbekannten Angreifer sie nicht beim Online-Scanner Virustotal hochgeladen. Die Sicherheitsfirma Eset entdeckte den Angriffsvektor und arbeitete mit Microsoft und Adobe zusammen, um die Lücken zu schließen, bevor sie Schaden anrichten konnten.

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig, München
  2. Fachhochschule Südwestfalen, Meschede

Die Angreifer hatten bereits ein PDF-Dokument gebaut, um beide Lücken zu kombinieren. Der Einschätzung der Sicherheitsforscher nach zeigten sie großes Geschick dabei. Glücklicherweise unterlief ihnen jedoch ein Fehler und sie luden, vielleicht zu Testzwecken, ihre PDF-Datei bei Virustotal hoch. Da diverse Antiviren-Hersteller die beim Online-Scanner hochgeladenen Dokumente automatisch auf neuartige Malware und Sicherheitslücken durchsuchen, blieben die Zero-Days nicht lange geheim.

Der fertige Angriff hätte wohl so ausgesehen, dass das PDF-Dokument an ein Opfer verschickt wird. Öffnet es die mit Javascript versehene Datei, erhält der Angreifer Lese- und Schreibrechte auf den Speicher des Systems. Diese kann er dazu missbrauchen, eigenen Schadcode auszuführen. Daraufhin kann er die Windows-Lücke nutzen, um aus der Javascript-Sandbox auszubrechen und seinem Schadcode Systemrechte zu verschaffen. Nach dem Öffnen der bösartigen PDF nimmt der Angriff also ohne weitere Nutzer-Interaktion seinen Lauf und das System des Opfers steht unter der Kontrolle der Angreifer. Allerdings sind alle Microsoft-Betriebssysteme ab Windows 8 immun gegen den zweiten Teil des Angriffs.

Die PDF-Datei, die Eset in die Hände fiel, hätte in der vorliegenden Form nicht richtig funktioniert, da sie keine Exploit Payload enthielt. Das deutet darauf hin, dass die unbekannten Angreifer noch an ihrer Technik gearbeitet haben, als der Upload auffiel. Die durch Microsoft und Adobe knapp einen Monat später ausgelieferten Updates konnten also höchstwahrscheinlich den Missbrauch der Zero-Days rechtzeitig verhindern. Zero-Days sind Geld wert. Angreifer können sie an den Meistbietenden versteigern. Attraktiv sind die Angriffe, da sich Opfer gegen sie nur schwer verteidigen können, denn für die angegriffenen Systeme gibt es zum Zeitpunkt des ersten Angriffs keine Patches.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,49€
  2. 11,99€
  3. 20,49€
  4. 52,99€

altuser 07. Jul 2018

War auch eine von zwei Varianten, die ich im Hinterkopf habe. Variante 2: Es gibt jetzt...

altuser 07. Jul 2018

Und die Zeichen sind geheim oder warum postest Du sie hier nicht?

My1 05. Jul 2018

für viele "normale" validierungen ließe sich im PDF standard was regeln, sodass es bspw...

TheUnichi 04. Jul 2018

Was soll das sein? Ich finde nur eine GitHub library, "A simpler and mockable gocql...

andy01q 04. Jul 2018

Whitehat findet einen üblen 0-day und denkt darüber nach den auf üblichem Weg zu...


Folgen Sie uns
       


Smartphone-Kameravergleich 2019

Der Herbst ist Oberklasse-Smartphone-Zeit, und wir haben uns im Test die Kameras der aktuellen Geräte angeschaut. Im Vergleich zeigt sich, dass die Spitzengruppe bei der Bildqualität weiter zusammengerückt ist, es aber immer noch Geräte gibt, die sich durch bestimmte Funktionen hervortun.

Smartphone-Kameravergleich 2019 Video aufrufen
In eigener Sache: Golem.de sucht Produktmanager/Affiliate (m/w/d)
In eigener Sache
Golem.de sucht Produktmanager/Affiliate (m/w/d)

Attraktive Vergünstigungen für Abonnenten, spannende Deals für unsere IT-Profis, nerdiger Merchandise für Fans oder innovative Verkaufslösungen: Du willst maßgeschneiderte E-Commerce-Angebote für Golem.de entwickeln und umsetzen und dabei eigenverantwortlich und in unserem sympathischen Team arbeiten? Dann bewirb dich bei uns!

  1. In eigener Sache Aktiv werden für Golem.de
  2. Golem Akademie Von wegen rechtsfreier Raum!
  3. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen

Arbeitsklima: Schlangengrube Razer
Arbeitsklima
Schlangengrube Razer

Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.
Ein Bericht von Peter Steinlechner

  1. Razer Blade Stealth 13 im Test Sieg auf ganzer Linie
  2. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  3. Junglecat Razer-Controller macht das Smartphone zur Switch

Quantencomputer: Intel entwickelt coolen Chip für heiße Quantenbits
Quantencomputer
Intel entwickelt coolen Chip für heiße Quantenbits

Gebaut für eine Kühlung mit flüssigem Helium ist Horse Ridge wohl der coolste Chip, den Intel zur Zeit in Entwicklung hat. Er soll einen Quantencomputer steuern, dessen Qubits mit ungewöhnlich hohen Temperaturen zurechtkommen.
Von Frank Wunderlich-Pfeiffer

  1. AWS re:Invent Amazon Web Services bietet Quanten-Cloud-Dienst an
  2. Quantencomputer 10.000 Jahre bei Google sind 2,5 Tage bei IBM
  3. Google Ein Quantencomputer zeigt, was derzeit geht und was nicht

    •  /