18826

Innenansichten eines Flash-Exploits

20.06.2008 | 17:52 Uhr |

Malware-Programmierer nutzen jede sich bietende Möglichkeit, um ihre Machwerke vor der Entdeckung und Analyse durch Antivirushersteller zu schützen. Früher oder später werden ihre Tricks aber doch entdeckt.

Sicherheitslücken im Web-Browser und in Browser-Plugins wie dem Adobe Flash Player werden gerne ausgenutzt, um Malware einzuschleusen. Die Tarnung von Exploits bekannter Sicherheitslücken erfolgt oft mit einer Methode, die als "code obfuscation" (Verschleierung) bezeichnet wird. Dabei werden die Javascript-Befehle so verwürfelt, dass ihre eigentliche Aufgabe kaum noch aus dem Quelltext erkennbar sind. Eine weitere, ergänzende Tarnmethode zeigt Vitaly Kamluk vom russischen Antivirushersteller Kaspersky Lab im Blog des Unternehmens .

Im vorliegenden Fall aus der Praxis des Malware-Forschers geht es um die Ausnutzung von Sicherheitslücken im Adobe Flash Player vor der aktuellen Version 9.0.124. Diese Exploits sind seit Ende Mai weit verbreitet . Der Programmierer hat eine präparierte Web-Seite erstellt, die zunächst ein kleine und harmlose SWF-Datei (Shockwave Flash) lädt. Diese macht nicht weiter als die Version des Flash Player zu ermitteln, den der Besucher installiert hat. Abhängig von dem Ergebnis lädt sie dann eine weitere Flash-Datei mit dem passenden Exploit-Code.

Versucht ein Malware-Forscher den Code im Labor zu analysieren, stößt er zunächst auf einen Versuch ihn in die Irre zu führen. Beim Versuch die verschiedenen Versionen der zweiten Flash-Datei herunter zu laden, liefert der Server eine Fehlermeldung - den berühmten "Error 404 - File not found" (Datei nicht gefunden). Dies geschieht jedoch nicht, weil die Datei etwa nicht vorhanden wäre. Vielmehr passt die gemeldete Flash-Player-Version nicht zur Datei und der Abruf wird verweigert.

Erst die Verwendung der jeweils passenden Player-Version (oder deren Vortäuschung) liefert dem Forscher die insgesamt sechs verschiedenen Exploit-Varianten. Sie nutzen einen Fehler im Flash-Player aus, der durch falsche Angaben über die Größe einer eingebetteten Bilddatei ausgelöst werden kann. Die aktuelle Flash-Player-Version 9.0.124 enthält diesen Fehler nicht mehr. Sie sollten daher Ihren Rechner überprüfen und auf die aktuelle Version umsteigen.

0 Kommentare zu diesem Artikel
18826