ESET

ESET analysiert aktuelle Firefox-Sicherheitslücke: Schon vor Bekanntwerden unter Feuer

Pressemitteilung   •   Aug 12, 2015 14:40 CEST

Der beliebte Mozilla Firefox-Browser hatte jüngst mit einer gefährlichen Sicherheitslücke zu kämpfen: Ein kritischer Fehler im eingebetteten PDF-Viewer erlaubte Angreifern das Ausführen von bösartigem JavaScript-Schadcode aus der Ferne. Zwar behebt Mozilla das Problem mittlerweile mit einem Patch, jedoch attackieren Hacker das Einfallstor weiterhin bei veralteten Firefox-Versionen. Der Security-Software-Hersteller ESET hat die Vorgehensweise der Angreifer jetzt analysiert.

Zero-Day-Lücke seit 27. Juli genutzt

Seit dem 6. August verteilt Mozilla ein Sicherheitsupdate für den Firefox-Browser, das die kritische Sicherheitslücke im PDF-Viewer der Software schließt. Wie eine Auswertung der Daten des ESET LiveGrid-Frühwarnsystems zeigt, verteilte ein ukrainischer Server bereits seit dem 27. Juli 2015 einen Schadcode, der genau auf diese Lücke abzielte. Gespräche mit ukrainischen Sicherheitsbehörden unterstreichen dies.

Phase 1 der Angriffswelle: Admins im Visier

Das bösartige Script kreiert einen IFRAME mit einem leeren PDF-Blob. Wenn Firefox versucht, die Datei mit dem integrierten PDF-Viewer zu öffnen, wird neuer Code in den IFRAME geladen. Im Anschluss dazu führt eine Verkettung von JavaScript-Funktionen dazu, dass das Sicherheitskonzept der „Same-Origin-Policy“ ausgehebelt wird.

Die Malware läuft unauffällig im Hintergrund und kann lediglich von technisch versierten Nutzern anhand einer Fehlermeldung im Browser identifiziert werden.

Nachdem die Schwachstelle in Firefox erfolgreich ausgenutzt wurde, leitet die Schadsoftware die Exfiltrationsphase ein. Daran besonders tückisch: der Code ist sowohl auf Windows- als auch auf Linux-Systemen lauffähig und sucht sich je nach Plattform die passenden Zieldateien zusammen. Auf Windows-Systemen fokussiert sich der Code beispielsweise auf Konfigurationsdateien populärer FTP-Programme wie FileZilla oder SmartFTP sowie Instant Messenger wie Psi+ oder Pidgin. Ziel dieser Vorgehensweise ist es, anhand dieser Daten Server-Logins und Passwörter von Systemadministratoren und Webmastern zu erbeuten.

Phase 2 der Angriffswelle: Die Hacker gehen „all in“

Nach der Veröffentlichung des Patches durch Mozilla gingen die Angreifer „all in“ und registrierten zwei neue Domains, während sie das Script zu ihren Gunsten weiter verbesserten. Die neuen Domains, maxcdnn[.]com (93.115.38.136) und acintcdn[.]net (185.86.77.48), suggerierten die Zugehörigkeit zu einem Content Delivery Network (CDN) und verschleierten die bösartige Absicht weiter.

Das überarbeitete Script hat es nicht mehr nur auf Login-Daten und Passwörter abgesehen, sondern zielt auf Konfigurations- und Textdateien von verschiedensten Anwendungen, darunter auch Bitcoin- und Kreditkarten-Daten. Neben Windows und Linux ist die neue Version des Scripts auch auf Mac OS X dazu in der Lage, sensible Daten abzugreifen.

Trittbrettfahrer-Effekt

Dadurch, dass der Firefox-Bug von Schadsoftware sehr einfach ausgenutzt werden kann, ist mit einer steigenden Anzahl von Trittbrettfahrern zu rechnen, die den Ansatz kopieren und für die eigenen kriminellen Machenschaften nutzen. So bereits geschehen auf der Porno-Website google-user-cache[.]com (108.61.205.41), allerdings mit abweichenden Zielen.

Das vorliegende Fallbeispiel zeigt, wie schnell Sicherheitslücken in populärer Software von Hackern ausgenutzt werden und sich die Vorgehensweise im Anschluss daran verbreitet. Die hohe Geschwindigkeit, mit der die Angreifer die Firefox-Lücke ausnutzten, zeigt, dass sie sehr gut mit Firefox vertraut sind. Ebenso zeigt das Beispiel, dass Exploits gerne als Einfallstor für andere Spionage-Trojaner dienen und innerhalb der Hacker-Szene rasant kopiert werden. Um solche Trends schon im Keim ersticken zu können, sind Cloud-unterstützte Erkennungsmechanismen wie das seit über zehn Jahren etablierte ESET LiveGrid von höchster Wichtigkeit und Relevanz bei der Abwehr von Schadsoftware.

ESET Security-Lösungen entdecken das bösartige Script als JS/Exploit.CVE-2015-4495. Firefox-Nutzer sollten ihren Browser schnellstmöglich auf die neue Version upgraden, um die Sicherheitslücke zu schließen. Als Zwischenschritt kann der integrierte Firefox PDF-Viewer über die Konfiguration auch deaktiviert werden – hierzu einfach den Wert pdfjs.disabled auf „true“ ändern.

Weitere detaillierten Einblicke in die Vorgehensweise der Malware bietet ESET auf seinem Security-Blog WeLiveSecurity.

Folgen Sie ESET:

http://www.ESET.de

http://www.welivesecurity.de/

https://twitter.com/ESET_de

https://www.facebook.com/ESET

ESET ist ein weltweiter Anbieter von IT-Sicherheitslösungen für Unternehmen und Privatanwender. Der Entwickler der preisgekrönten NOD32-Technologie gilt als Vorreiter in der proaktiven Bekämpfung selbst unbekannter Viren, Trojaner und anderer Bedrohungen. ESET ist auf diesem Gebiet seit über 25 Jahren führend. 

Im Juni 2013 wurde ESET NOD32 Antivirus zum 80. Mal vom Virus Bulletin mit dem VB100 Award ausgezeichnet und ist damit Rekordhalter. Darüber hinaus hat die NOD32-Technologie im Vergleich zu Produkten anderer AV-Hersteller die längste Zeit in Folge den VB100 Award erhalten. Auch AV-Comparatives, AV-TEST und weitere Organisationen haben ESET bereits ausgezeichnet. 

Millionen von Nutzern vertrauen ESET NOD32 Antivirus, ESET Smart Security, ESET Cyber Security (Antivirenprogramm für Macs), ESET Mobile Security und IT Security for Business. Die Produkte zählen weltweit zu den am häufigsten empfohlenen Sicherheitslösungen.

ESET hat seine Zentrale in Bratislava (Slowakei) und besitzt regionale Vertriebszentren in San Diego (USA), Buenos Aires (Argentinien) und Singapur. In Jena (Deutschland), Prag (Tschechische Republik) und Sao Paulo (Brasilien) unterhält das Unternehmen eigene Niederlassungen. Außerdem verfügt ESET über Forschungszentren zur Malware-Bekämpfung in Bratislava, San Diego, Buenos Aires, Singapur, Prag, Košice (Slowakei), Krakau (Polen), Montreal (Kanada) und Moskau (Russland) sowie über ein Netz exklusiver Distributoren in mehr als 180 Ländern weltweit.