ESET analysiert aktuelle Firefox-Sicherheitslücke: Schon vor Bekanntwerden unter Feuer
Der beliebte Mozilla Firefox-Browser hatte jüngst mit einer gefährlichen Sicherheitslücke zu kämpfen. Der Security-Software-Hersteller ESET hat die Vorgehensweise der Angreifer jetzt analysiert.
Zero-Day-Lücke seit 27. Juli genutzt
Seit dem 6. August verteilt Mozilla ein Sicherheitsupdate für den Firefox-Browser, das die kritische Sicherheitslücke im PDF-Viewer der Software schließt. Wie eine Auswertung der Daten des ESET LiveGrid-Frühwarnsystems zeigt, verteilte ein ukrainischer Server bereits seit dem 27. Juli 2015 einen Schadcode, der genau auf diese Lücke abzielte. Gespräche mit ukrainischen Sicherheitsbehörden unterstreichen dies.
Phase 1 der Angriffswelle: Admins im Visier
Das bösartige Script kreiert einen IFRAME mit einem leeren PDF-Blob. Wenn Firefox versucht, die Datei mit dem integrierten PDF-Viewer zu öffnen, wird neuer Code in den IFRAME geladen. Im Anschluss dazu führt eine Verkettung von JavaScript-Funktionen dazu, dass das Sicherheitskonzept der "Same-Origin-Policy" ausgehebelt wird.
Die Malware läuft unauffällig im Hintergrund und kann lediglich von technisch versierten Nutzern anhand einer Fehlermeldung im Browser identifiziert warden-
Nachdem die Schwachstelle in Firefox erfolgreich ausgenutzt wurde, leitet die Schadsoftware die Exfiltrationsphase ein. Daran besonders tückisch: der Code ist sowohl auf Windows- als auch auf Linux-Systemen lauffähig und sucht sich je nach Plattform die passenden Zieldateien zusammen. Auf Windows-Systemen fokussiert sich der Code beispielsweise auf Konfigurationsdateien populärer FTP-Programme wie FileZilla oder SmartFTP sowie Instant Messenger wie Psi+ oder Pidgin. Ziel dieser Vorgehensweise ist es, anhand dieser Daten Server-Logins und Passwörter von Systemadministratoren und Webmastern zu erbeuten.
Phase 2 der Angriffswelle: Die Hacker gehen "all in"
Nach der Veröffentlichung des Patches durch Mozilla gingen die Angreifer "all in" und registrierten zwei neue Domains, während sie das Script zu ihren Gunsten weiter verbesserten. Die neuen Domains, maxcdnn[.]com (93.115.38.136) und acintcdn[.]net (185.86.77.48), suggerierten die Zugehörigkeit zu einem Content Delivery Network (CDN) und verschleierten die bösartige Absicht weiter.
Das überarbeitete Script hat es nicht mehr nur auf Login-Daten und Passwörter abgesehen, sondern zielt auf Konfigurations- und Textdateien von verschiedensten Anwendungen, darunter auch Bitcoin- und Kreditkarten-Daten. Neben Windows und Linux ist die neue Version des Scripts auch auf Mac OS X dazu in der Lage, sensible Daten abzugreifen.
Trittbrettfahrer-Effekt
Dadurch, dass der Firefox-Bug von Schadsoftware sehr einfach ausgenutzt werden kann, ist mit einer steigenden Anzahl von Trittbrettfahrern zu rechnen, die den Ansatz kopieren und für die eigenen kriminellen Machenschaften nutzen. So bereits geschehen auf der Website google-user-cache[.]com (108.61.205.41), allerdings mit abweichenden Zielen.
Das vorliegende Fallbeispiel zeigt, wie schnell Sicherheitslücken in populärer Software von Hackern ausgenutzt werden und sich die Vorgehensweise im Anschluss daran verbreitet. Die hohe Geschwindigkeit, mit der die Angreifer die Firefox-Lücke ausnutzten, zeigt, dass sie sehr gut mit Firefox vertraut sind. Ebenso zeigt das Beispiel, dass Exploits gerne als Einfallstor für andere Spionage-Trojaner dienen und innerhalb der Hacker-Szene rasant kopiert werden. Um solche Trends schon im Keim ersticken zu können, sind Cloud-unterstützte Erkennungsmechanismen wie das seit über zehn Jahren etablierte ESET LiveGrid von höchster Wichtigkeit und Relevanz bei der Abwehr von Schadsoftware.
ESET Security-Lösungen entdecken das bösartige Script als JS/Exploit.CVE-2015-4495. Firefox-Nutzer sollten ihren Browser schnellstmöglich auf die neue Version upgraden, um die Sicherheitslücke zu schließen. Als Zwischenschritt kann der integrierte Firefox PDF-Viewer über die Konfiguration auch deaktiviert werden ? hierzu einfach den Wert pdfjs.disabled auf "true" ändern.
Weitere detaillierten Einblicke in die Vorgehensweise der Malware bietet ESET auf seinem Security-Blog WeLiveSecurity
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Über ESET
ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktiven Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Bratislava, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter
Blumenstraße 28, 80331 München
Datum: 12.08.2015 - 13:40 Uhr
Sprache: Deutsch
News-ID 1249324
Anzahl Zeichen: 4839
Kontakt-Informationen:
Ansprechpartner: Carolin Westphal
Stadt:
Jena
Telefon: +49 89 230 31 692
Kategorie:
IT & Hardware & Software & TK
Meldungsart:
Anmerkungen:
Diese Pressemitteilung wurde bisher 667 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"ESET analysiert aktuelle Firefox-Sicherheitslücke: Schon vor Bekanntwerden unter Feuer"
steht unter der journalistisch-redaktionellen Verantwortung von
ESET Deutschland (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Jena, 10. September 2015 ? Der europäische Security-Software-Hersteller ESET registriert eine zunehmende Anzahl zielgerichteter Angriffe auf Unternehmen des Finanzsektors. Möglicher Urheber sind die so genannten "Carbanak" Cyber-Bankräuber. Sie hatten Ende letzten Jahres für Aufsehen
Deutschland im Fadenkreuz: ESET analysiert tückische Spam-Software ...
Jena, 27. August 2015 ? Der europäische Security-Software-Hersteller ESET hat eine Malware analysiert, die hauptsächlich in Deutschland wildert: Trustezeb. Seit Monaten befindet sich die Schadsoftware in den Top10 des ESET Virus Radars. Betrachtet man die globalen Infektionsraten, so fällt di
ESET ernennt Stefan Müller zum Territory Manager West ...
Jena, 11. August 2015 ? Der Security-Software-Hersteller ESET holt mit Stefan Müller (47) einen erfahrenen Territory Manager für die Region West an Bord und setzt sein Personalwachstum in Deutschland damit konsequent fort. Müller beerbt seinen Vorgänger Daniel Stephan, der dem Unternehmen als st
Weitere Mitteilungen von ESET Deutschland
Projektron erhält TOTAL-E-QUALITY-Prädikat und Sonderpreis für Diversity ...
Im Jahr 2011 hat Projektron das Prädikat TOTAL E-QUALITY des Vereins TOTAL E-QUALITY Deutschland erhalten, weil das Unternehmen Personalstrategien zur Umsetzung von Chancengleichheit erfolgreich umsetzt. Die Auszeichnung, die Ergebnis eines umfangreichen Bewerbungsprozesses ist, gilt für drei Jahr
Neue Fortbildungsmanagement-Software von der Internetagentur i-fabrik GmbH ...
Leipzig, 12. August 2015: Die Internetagentur i-fabrik GmbH hat eine neue Fortbildungsmanagement-Software gelauncht. Das webbasierte Tool richtet sich insbesondere an Personaldezernate und –referate von öffentlichen Verwaltungen, Bildungseinrichtungen und Hochschulen sowie Personalabteilungen mit
Smart Testen mit der TestBench 2.4.1: Neue Features u.a. bei den Benutzerdefinierten Feldern ...
Mit der TestBench von imbus lassen sich Softwaretests schon immer schnell entwickeln und effizient durchführen. Und dank des nun erschienen Updates 2.4.1 wird das Testen noch smarter: Benutzerdefinierte Felder können nicht nur für Testspezifikation und -durchführung festgelegt werden, sondern je
Erstmalig auf der IFA: AEE Technology mit neuen Kameras und Drohnen ...
München, im August 2015 – Mit AEE einen Perspektivenwechsel erleben – auf der IFA 2015 kein Problem. AEE Technology ist weltweit führender Hersteller von Multi-Rotor Fluggeräten sowie erstklassigen Actions Cams und stellt sich jetzt mit Produktinnovationen und brandneuem Design auch in Deutsc




