Eine der beiden, vergangene Woche von Adobe geschlossenen, Flash-Lücken lässt sich für den Diebstahl von Windows-Anmeldedaten benutzen. Das berichtet der niederländische Sicherheitsforscher Björn Ruytenberg, der die Anfälligkeit entdeckt hat. Es handelt sich demnach um eine Variante einer älteren Schwachstelle, die Adobe im September 2016 bereits gepatcht hatte.

Mithilfe einer speziell präparierten Flash-Datei erlaubte die ältere Lücke mit der Kennung CVE-2016-4271 es, einen SMB-Server zu kontaktieren. Dieser wiederum brachte einen Windows-Rechner dann dazu, lokale NTLM-Hashes und damit die Anmeldedaten des lokalen Nutzers preiszugeben. Adobe stopfte dieses Loch, indem es ausgehende Verbindungen zu URLs mit UNC- oder Dateiadressen unterband. Wie Bleeping Computer berichtet, gelang es Ruytenberg jedoch, die mit Adobes Patch eingeführten Sicherheitsvorkehrungen zu umgehen.

Per HTTP oder HTTPS stellt eine von Ruytenberg manipulierte Flash-Datei eine Verbindung zu einem entfernten Server her, welcher wiederum mit einer 302-HTTP-Umleitung an einen SMB-Server reagiert, der dann wieder in der Lage ist, die Windows-Anmeldedaten auszuspähen.

Allerdings nennt der Forscher in seinem Blog einige Einschränkungen. Die Schwachstelle lässt sich demnach nur mit Internet Explorer und Firefox ausnutzen, nicht aber mit den Browsern Edge oder Chrome. Weiter seien auch die Office-Versionen 2010, 2013 und 2016 angreifbar.

Er weist außerdem darauf hin, dass der Bug sich auf mehrere Arten ausnutzen lässt. Beispielsweise müsse ein Angreifer sein Opfer auf eine Website mit einer Flash-Applikation, die den Schadcode enthält, locken. Das sei auch per Malvertising, also durch das Einschleusen schädlicher Werbung in legitime Websites, möglich.

Eine E-Mail könne aber alternativ auch eine HTML-Datei mit eingebetteter Flash-Applikation enthalten. Es sei außerdem möglich, Flash-Code auch in Excel- und Word-Dokumente, die sich anschließend über das Internet oder per E-Mail verbreiten lassen, einzubetten.

Weiterhin warnt er davor, die von der Schwachstelle ausgehende Gefahr falsch einzuschätzen, da diese den geringen Schweregrads von 4,3 Punkten im zehnstufigen Common Vulnerability Scoring System (CVSS) erhalten hat. Die Schwachstelle sei perfekt für zielgerichtete Angriffe auf einzelne Personen oder Unternehmen geeignet. „Genau genommen sind die auszuspähenden Informationen auf die Windows-Anmeldedaten beschränkt“, erklärte Ruytenberg gegenüber Bleeping Computer. Jedoch lasse sich mit den Anmeldedaten ein sehr großer Schaden anrichten. „Ein Angreifer könnte beispielsweise seine Rechte ausweiten und Malware dauerhaft auf dem Rechner seines Opfers installieren.“

(mt, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE