Abo
  • Services:

Zero-Day-Lücken: Angreifer verraten sich durch Virustotal-Upload

Zwei Sicherheitslücken im Adobe Reader und in Windows hätten für raffinierte Angriffe auf Windows-Rechner missbraucht werden können. Jedoch verrieten sich die Angreifer dadurch, dass sie ihre exklusiven Zero-Days selbst beim Dienst Virustotal einstellten.

Artikel veröffentlicht am ,
Noch einmal Glück gehabt: Die Sicherheitslücken wurden nicht ausgenutzt.
Noch einmal Glück gehabt: Die Sicherheitslücken wurden nicht ausgenutzt. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Zwei Zero-Day-Lücken, die von Microsoft und Adobe am Patch Tuesday im Mai geschlossen wurden, waren Teil eines raffinierten Angriffsszenarios auf Windows-PCs. Die bis dato unbekannten Lücken in Windows und im Adobe Reader hätten zusammen dazu missbraucht werden können, Windows-7-Nutzer anzugreifen - hätten die unbekannten Angreifer sie nicht beim Online-Scanner Virustotal hochgeladen. Die Sicherheitsfirma Eset entdeckte den Angriffsvektor und arbeitete mit Microsoft und Adobe zusammen, um die Lücken zu schließen, bevor sie Schaden anrichten konnten.

Stellenmarkt
  1. ICS IT & Consulting Services GmbH, Frankfurt am Main
  2. Swyx Solutions GmbH, Dortmund

Die Angreifer hatten bereits ein PDF-Dokument gebaut, um beide Lücken zu kombinieren. Der Einschätzung der Sicherheitsforscher nach zeigten sie großes Geschick dabei. Glücklicherweise unterlief ihnen jedoch ein Fehler und sie luden, vielleicht zu Testzwecken, ihre PDF-Datei bei Virustotal hoch. Da diverse Antiviren-Hersteller die beim Online-Scanner hochgeladenen Dokumente automatisch auf neuartige Malware und Sicherheitslücken durchsuchen, blieben die Zero-Days nicht lange geheim.

Der fertige Angriff hätte wohl so ausgesehen, dass das PDF-Dokument an ein Opfer verschickt wird. Öffnet es die mit Javascript versehene Datei, erhält der Angreifer Lese- und Schreibrechte auf den Speicher des Systems. Diese kann er dazu missbrauchen, eigenen Schadcode auszuführen. Daraufhin kann er die Windows-Lücke nutzen, um aus der Javascript-Sandbox auszubrechen und seinem Schadcode Systemrechte zu verschaffen. Nach dem Öffnen der bösartigen PDF nimmt der Angriff also ohne weitere Nutzer-Interaktion seinen Lauf und das System des Opfers steht unter der Kontrolle der Angreifer. Allerdings sind alle Microsoft-Betriebssysteme ab Windows 8 immun gegen den zweiten Teil des Angriffs.

Die PDF-Datei, die Eset in die Hände fiel, hätte in der vorliegenden Form nicht richtig funktioniert, da sie keine Exploit Payload enthielt. Das deutet darauf hin, dass die unbekannten Angreifer noch an ihrer Technik gearbeitet haben, als der Upload auffiel. Die durch Microsoft und Adobe knapp einen Monat später ausgelieferten Updates konnten also höchstwahrscheinlich den Missbrauch der Zero-Days rechtzeitig verhindern. Zero-Days sind Geld wert. Angreifer können sie an den Meistbietenden versteigern. Attraktiv sind die Angriffe, da sich Opfer gegen sie nur schwer verteidigen können, denn für die angegriffenen Systeme gibt es zum Zeitpunkt des ersten Angriffs keine Patches.



Anzeige
Blu-ray-Angebote
  1. 7,99€ inkl. FSK-18-Versand
  2. (nur für Prime-Mitglieder)

altuser 07. Jul 2018 / Themenstart

War auch eine von zwei Varianten, die ich im Hinterkopf habe. Variante 2: Es gibt jetzt...

altuser 07. Jul 2018 / Themenstart

Und die Zeichen sind geheim oder warum postest Du sie hier nicht?

My1 05. Jul 2018 / Themenstart

für viele "normale" validierungen ließe sich im PDF standard was regeln, sodass es bspw...

TheUnichi 04. Jul 2018 / Themenstart

Was soll das sein? Ich finde nur eine GitHub library, "A simpler and mockable gocql...

andy01q 04. Jul 2018 / Themenstart

Whitehat findet einen üblen 0-day und denkt darüber nach den auf üblichem Weg zu...

Kommentieren


Folgen Sie uns
       


Hasselblad X1D und Fujifilm GFX 50S - Test

Im analogen Zeitalter waren Mittelformatkameras meist recht klobige Geräte, die vor allem Profis Vorteile boten. Einige davon sind im Zeitalter der Digitalfotografie obsolet. In Sachen Bildqualität sind Mittelformatkameras aber immer noch ganz weit vorn, wie wir beim Test der Fujifilm GFX 50S und Hasselblad X1D herausgefunden haben.

Hasselblad X1D und Fujifilm GFX 50S - Test Video aufrufen
Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /