Adobe und Microsoft veröffentlichen Patcht für nordkoreanischen Zero-Day in Flash

Microsoft und Adobe veröffentlichen einen Patch für Windows, das Anwender vor einem Zero-Day-Exploit in Adobes Flash Player schützt. Nordkoreanische Hacker hatten über Excel-sheets ein bisher unbekanntes Leck in Adobes Flash genutzt. Forscher von Cisco Talos haben die betreffende Hackergruppe als Group 123 identifiziert. Über ein Leck in Flash und in Excel propagierten diese das ROKRAT-Tool, das für Remote-Zugriff auf Rechner verwendet wird, um darüber beliebigen Code auf den angegriffenen Systemen auszuführen.

So konnten entfernte Angreifer auf Windows, macOS, Linux und Chorme OS die vollständige Kontrolle über ein System übernehmen, wie Adobe in einem Advisory warnte. Allerdings, so erklärte der Hersteller, seien nur wenige Angriffe bekannt, die über dieses Leck ausgeführt werden. Daher hatte sich Adobe auch rund eine Woche Zeit mit der Entwicklung der Aktualisierung gelassen und mit der Veröffentlichung bis zum regulären Adobe-Patchday gewartet. Offiziell gemeldet wurde das Leck zunächst von dem südkoreanischen CERT, das dem Schädling die Kennung CVE-2018-4878 verlieh und auch erklärte, dass das Leck ausgenutzt wird.

Mit dem Update auf die Flash-Player-Version 28.0.0.161 wird der Pfad geschlossen, der es ermöglicht, per Fernzugriff auf Windows, macOS und Chrome OS Code auszuführen. Nachdem aber Microsoft die Verantwortung zufällt, den Flash-Player im Internet Explorer und in Edge zu aktualisieren, teilt das Unternehmen jetzt mit, dass es mit einem außerplanmäßigen Sicherheitsupdate die Adobe-Komponente aktualisiert.

Eine detaillierte Untersuchung des Schädlings lieferte die Cisco-Sicherheits-Tochter Talos in einem Blogeintrag. In dem Excel-Sheet der Group 123 wurde ein ActiveX-Objekt integriert, das über eine bösartiges Flash-File das Tool ROKRAT von einem gekaperten Web-Server herunter lud. Laut Talos, war es das erste Mal, dass diese Gruppe ein Zero-Day verwendete. Es liegt daher nahe, dass die potentiellen Opfer sehr genau ausgesucht wurden und für die Hacker offenbar von großem Wert waren.

Der Zero-Day-Exploit geht offenbar auf das Konto nordkoreanischer Hacker die damit gezielt Personen der Regierung oder des Militärs ausspähen wollten (Bild: Cisco Talos).

Ein Analyse von FireEye bestätigt diese Einschätzung. Group 123 TEMP.Reaper interagieren demnach über nordkoreanische IP-Adressen mit den Command-and-Controll-Servern. Dabei seien die meisten Ziele in Südkorea und hier in der Regierung, dem Militär oder in der Rüstungsindustrie beheimatet.

Daneben hat Adobe ein weiteres Use-After-Free-Leck in Flash behoben, über das ebenfalls remote Code ausgeführt werden konnte. Die Flash Player, die in Chrome, Edge und dem Internet Explorer 11 installiert sind, werden automatisch mit dem Update versorgt.

Flash Player, lange Zeit eine der wichtigsten Angriffvektoren und häufig das Produkt mit den meisten Sicherheitslecks, wird Ende Dezember 2020 auslaufen. Künftig wird HTML5 die Funktionen von Flash übernehmen. Einige Hersteller wie Google werden wohl auch schon im Vorfeld den Support beenden.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago