Adobe und Microsoft veröffentlichen Patcht für nordkoreanischen Zero-Day in Flash

Microsoft und Adobe veröffentlichen einen Patch für Windows, das Anwender vor einem Zero-Day-Exploit in Adobes Flash Player schützt. Nordkoreanische Hacker hatten über Excel-sheets ein bisher unbekanntes Leck in Adobes Flash genutzt. Forscher von Cisco Talos haben die betreffende Hackergruppe als Group 123 identifiziert. Über ein Leck in Flash und in Excel propagierten diese das ROKRAT-Tool, das für Remote-Zugriff auf Rechner verwendet wird, um darüber beliebigen Code auf den angegriffenen Systemen auszuführen.

So konnten entfernte Angreifer auf Windows, macOS, Linux und Chorme OS die vollständige Kontrolle über ein System übernehmen, wie Adobe in einem Advisory warnte. Allerdings, so erklärte der Hersteller, seien nur wenige Angriffe bekannt, die über dieses Leck ausgeführt werden. Daher hatte sich Adobe auch rund eine Woche Zeit mit der Entwicklung der Aktualisierung gelassen und mit der Veröffentlichung bis zum regulären Adobe-Patchday gewartet. Offiziell gemeldet wurde das Leck zunächst von dem südkoreanischen CERT, das dem Schädling die Kennung CVE-2018-4878 verlieh und auch erklärte, dass das Leck ausgenutzt wird.

Mit dem Update auf die Flash-Player-Version 28.0.0.161 wird der Pfad geschlossen, der es ermöglicht, per Fernzugriff auf Windows, macOS und Chrome OS Code auszuführen. Nachdem aber Microsoft die Verantwortung zufällt, den Flash-Player im Internet Explorer und in Edge zu aktualisieren, teilt das Unternehmen jetzt mit, dass es mit einem außerplanmäßigen Sicherheitsupdate die Adobe-Komponente aktualisiert.

Eine detaillierte Untersuchung des Schädlings lieferte die Cisco-Sicherheits-Tochter Talos in einem Blogeintrag. In dem Excel-Sheet der Group 123 wurde ein ActiveX-Objekt integriert, das über eine bösartiges Flash-File das Tool ROKRAT von einem gekaperten Web-Server herunter lud. Laut Talos, war es das erste Mal, dass diese Gruppe ein Zero-Day verwendete. Es liegt daher nahe, dass die potentiellen Opfer sehr genau ausgesucht wurden und für die Hacker offenbar von großem Wert waren.

Der Zero-Day-Exploit geht offenbar auf das Konto nordkoreanischer Hacker die damit gezielt Personen der Regierung oder des Militärs ausspähen wollten (Bild: Cisco Talos).

Ein Analyse von FireEye bestätigt diese Einschätzung. Group 123 TEMP.Reaper interagieren demnach über nordkoreanische IP-Adressen mit den Command-and-Controll-Servern. Dabei seien die meisten Ziele in Südkorea und hier in der Regierung, dem Militär oder in der Rüstungsindustrie beheimatet.

Daneben hat Adobe ein weiteres Use-After-Free-Leck in Flash behoben, über das ebenfalls remote Code ausgeführt werden konnte. Die Flash Player, die in Chrome, Edge und dem Internet Explorer 11 installiert sind, werden automatisch mit dem Update versorgt.

Flash Player, lange Zeit eine der wichtigsten Angriffvektoren und häufig das Produkt mit den meisten Sicherheitslecks, wird Ende Dezember 2020 auslaufen. Künftig wird HTML5 die Funktionen von Flash übernehmen. Einige Hersteller wie Google werden wohl auch schon im Vorfeld den Support beenden.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Recent Posts

Bundesbürger misstrauen KI-generierten Ergebnissen

ChatGPT, Google Gemini, MidJourney oder Anthropic Claude: Gut jeder zweite Bundesbürger hat generative KI bereits…

9 Stunden ago

Typische Fehler beim KI-Einsatz im Marketing

KI gehört schon zu den festen Instrumenten des Marketings. Doch viele Unternehmer setzen die KI…

10 Stunden ago

Starbucks von Cyberattacke betroffen

Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.

1 Tag ago

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

2 Tagen ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

2 Tagen ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

3 Tagen ago