Neue Adobe Flash Zero-Day Exploit in Microsoft Office Dokumenten versteckt

Cybersicherheitsforscher haben eine neue Zero-Day-Schwachstelle in Adobe Flash Player entdeckt, die Hacker aktiv in freier Wildbahn ausnutzen, während eine gezielte Kampagne eine russische staatliche Gesundheitsbehörde anzugreifen scheint. Bei der Schwachstelle, die als CVE-2018-15982 bezeichnet wird, handelt es sich um einen nutzbaren Fehler im Flash Player, der es einem Angreifer bei erfolgreicher Ausnutzung ermöglicht, beliebigen Code auf dem Zielrechner auszuführen und schließlich die volle Kontrolle über das System zu erlangen.

Die neu entdeckte Flash Player Zero-Day-Exploit wurde von Forschern in bösartigen Microsoft Office-Dokumenten entdeckt, die an den Online-Mehrmaschinen-Malware-Scannerdienst VirusTotal von einer ukrainischen IP-Adresse aus übermittelt wurden. Die bösartig gestalteten Microsoft Office-Dokumente enthalten in der Kopfzeile ein eingebettetes Flash Active X-Steuerelement, das sich beim Öffnen durch den Zielbenutzer wiedergibt und die gemeldete Schwachstelle des Flash-Players ausnutzt. Laut Cybersicherheitsforschern enthalten weder die Microsoft Office-Datei (22.docx) noch der Flash-Exploit (in ihr) selbst die endgültige Payload zur Übernahme der Kontrolle über das System.

Stattdessen verbirgt sich die endgültige Nutzlast in einer Bilddatei (scan042.jpg), die selbst eine Archivdatei ist, die zusammen mit der Microsoft Office-Datei in einem übergeordneten WinRAR-Archiv gepackt wurde, das dann über Spear-Phishing-E-Mails verteilt wird. Beim Öffnen des Dokuments führt der Flash-Exploit einen Befehl auf dem System aus, um die Image-Datei zu entpacken und die endgültige Payload (z.B. backup.exe) auszuführen, die mit VMProtect geschützt und so programmiert wurde, dass sie eine Hintertür installiert, die Folgendes ermöglicht:
  • Überwachung der Nutzeraktivitäten (Tastatur oder Bewegung der Maus)
  • Systeminformationen sammeln und an einen Server senden,
  • Die Ausführung von Shellcode,
  • Dateien herunterladen
  • Code ausführen und
  • Selbstzerstörung
Forscher von Gigamon Applied Threat Research und dem chinesischen Cybersicherheitsunternehmen Qihoo 360 Core Security haben den Angriff keiner staatlich geförderten Hackergruppe zugeschrieben. Da es sich bei den bösartig gestalteten Dokumenten jedoch um eine Bewerbung für eine russische staatliche Gesundheitsklinik handelt, die der russischen Präsidialverwaltung angegliedert ist und von einem ukrainischen IP auf VirusTotal hochgeladen wurde, glauben die Forscher, dass die Angreifer angesichts der politischen Spannungen zwischen den beiden Ländern aus der Ukraine stammen könnten.

Die Schwachstelle betrifft Adobe Flash Player Versionen 31.0.0.0.153 und früher für Produkte wie Flash Player Desktop Runtime, Flash Player für Google Chrome, Microsoft Edge und Internet Explorer 11. Adobe Flash Player Installer Versionen 31.0.0.0.108 und früher sind ebenfalls betroffen. Forscher berichteten Adobe am 29. November über die Flash Zero-Day-Exploit, woraufhin das Unternehmen das Problem bestätigte und die aktualisierte Adobe Flash Player Version 32.0.0.0.101 für Windows, MacOS, Linux und Chrome OS sowie die Adobe Flash Player Installer Version 31.0.0.0.122 veröffentlichte.

Die Sicherheitsupdates enthalten einen Patch für den gemeldeten Zero-Day-Schwachpunkt sowie einen Fix für eine "wichtige" DLL-Hijacking-Schwachstelle (CVE-2018-15983), die es Angreifern ermöglichen könnte, die Privilegien über Flash Player zu erhöhen und eine bösartige DLL zu laden.