Eine der Voraussetzungen, dass so ein Angriff ausgenutzt werden kann, ist das Vorhandensein von exakt gleichen Bedingungen. Das heißt: dieselbe Betriebssystemversion mit möglichst identischem Patchstand. Das angegriffene Programm muss binär absolut identisch mit dem Rechner des Angreifers sein, also derselbe Patchlevel in derselben Sprachversion. Keine Chance hat ein Angreifer, wenn im Browser mehrere Tabs oder Fenster geöffnet sind, bevor das präparierte Dokument geladen ist.
Externe Programme wie der Adobe Acrobat Reader sind grundsätzlich stärker gefährdet als ein Browser. Das liegt daran, dass der Angreifer darauf hoffen kann, dass das externe Programm nicht gestartet ist, wenn der Benutzer das präparierte Dokument anklickt. Wer grundsätzlich vor dem Starten des Browsers ein PDF-Dokument öffnet, erhält einen ziemlich guten Schutz vor der „produktiven“ Ausnutzung einer Lücke im Acrobat Reader.
Wenn das Programm gestartet wird, um das vom Browser erhaltene Dokument zu laden, besteht eine Chance, dass das Programm sich deterministisch genug verhält, damit das Dokument immer an dieselbe Adresse geladen wird. In diesem Fall lässt sich der Schadcode zur Ausführung bringen.
Auch dann bestehen erhebliche Unsicherheiten für den Angreifer. Die Ladeadresse des Dokuments kann sich etwa in Abhängigkeit davon verändern, ob der Browser die Datei im Verzeichnis C:Usersuser1Temporary Internet Files oder in C:Benutzerusername2Temporäre Internet Dateien speichert. Dabei spielt auch die Anzahl der Zeichen im Benutzernamen eine Rolle. Es ist durchaus möglich, dass der jetzt entdeckte Schadcode nur Benutzernamen mit einer bestimmten Anzahl von Zeichen trifft.
Grundsätzlich ist die Wahrscheinlichkeit, von einem solchen Angriff betroffen zu sein, vergleichbar mit dem Knacken des Jackpots beim Lotto. Größere Unternehmen, die zehntausende von Rechnern besitzen, machen aber schon eine recht große „Tippgemeinschaft“ aus. Es ist davon auszugehen, dass die chinesische Regierung ihren Angriff auf Millionen von PCs angesetzt und bei etwa 30 Rechnern einen Treffer gelandet hat.
Auch bei dieser statistisch geringen Ausbeute kann die „Leistung“ der chinesischen Hacker von der Programmiertechnik her nur bewundert werden. Eine funktionierende Malware durch Ausnutzung einer Speicherarithmetiklücke ist kein Code, den man schnell mal programmieren kann. Es dürften monatelange „Forschungsarbeiten“ durch sehr gut ausgebildete Spezialisten vorangegangen sein.
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…
Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…
KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…
Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…