News 25.06.2008, 07:51 Uhr

Sezieren einer Flash-Lücke

Kommen Sie mit auf eine Reise ins Sicherheitslabor: Wie sieht es im Inneren eines Flash-Exploits aus? Forscher von Kaspersky Lab haben ein solches zerlegt und veröffentlichen die Innenansichten.
Sicherheitslücken im Webbrowser und in Browser-Plug-ins wie dem Adobe Flash Player werden gerne ausgenutzt, um Malware einzuschleusen. Die Tarnung von Exploits bekannter Sicherheitslücken erfolgt oft mit einer Methode, die als «code obfuscation» (Verschleierung) bezeichnet wird. Dabei werden die Javascript-Befehle so verwürfelt, dass ihre eigentliche Aufgabe kaum noch aus dem Quelltext erkennbar ist. Eine weitere, ergänzende Tarnmethode zeigt Vitaly Kamluk vom russischen Antivirenhersteller Kaspersky Lab im Blog des Unternehmens.
Im vorliegenden Fall aus der Praxis des Malware-Forschers geht es um die Ausnutzung von Sicherheitslücken im Adobe Flash Player vor der aktuellen Version 9.0.124. Diese Exploits sind seit Ende Mai weit verbreitet. Der Programmierer hat eine präparierte Webseite erstellt, die zunächst ein kleine und harmlose SWF-Datei (Shockwave Flash) lädt. Diese macht nichts weiter, als die Version des Flash Player zu ermitteln, den der Besucher installiert hat. Abhängig von dem Ergebnis lädt sie dann eine weitere Flash-Datei mit dem passenden Exploit-Code.
Versucht ein Malware-Forscher, den Code im Labor zu analysieren, stösst er zunächst auf einen Versuch, ihn in die Irre zu führen. Beim Versuch, die verschiedenen Versionen der zweiten Flash-Datei herunterzuladen, liefert der Server eine Fehlermeldung - den berühmten «Error 404 - File not found» (Datei nicht gefunden). Dies geschieht jedoch nicht, weil die Datei etwa nicht vorhanden wäre. Vielmehr passt die gemeldete Flash-Player-Version nicht zur Datei und der Abruf wird verweigert.
Erst die Verwendung der jeweils passenden Player-Version (oder deren Vortäuschung) liefert dem Forscher die insgesamt sechs verschiedenen Exploit-Varianten. Sie nutzen einen Fehler im Flash-Player aus, der durch falsche Angaben über die Grösse einer eingebetteten Bilddatei ausgelöst werden kann. Die aktuelle Flash-Player-Version 9.0.124 enthält diesen Fehler nicht mehr. Anwender sollten daher ihren Rechner überprüfen und auf die aktuelle Version umsteigen.



Kommentare
Es sind keine Kommentare vorhanden.