Certified Security Operations Center GmbH

2. Oktober 2018

CSOC-Event der Woche KW39: Veraltete Flash Version

KW39: CSOC-Event der Woche – Veraltete Flash Version

Durchschnittliche CSOC-Gesamtevents pro Tag:    49.175
Detektionshäufigkeit:      315

Eventbeschreibung Veraltete Flash Version (CVE-2017-11292) / Kritikalität = hoch (7 / 10)

In dieser Woche berichten wir über ein Event, das auftritt, sobald eine veraltete Flash-Version genutzt wird. In unserem Fall handelt es sich um eine veraltete Version, die potenziell verwundbar ist. Adobe Flash oder auch Silverlight von Microsoft sind Plugins, die auf einigen Webseiten notwendig sind, um Inhalte wie Animationen oder Videos abspielen zu können. Hier fungiert Flash als Schnittstelle zwischen Website und Internetbrowser, die viele Funktionen ermöglicht.

Aufgrund der Komplexität des Plugins ist es Angreifern möglich, Schadcode an die Besucher von manipulierten Webseiten zu verteilen, wenn diese eine veraltete Flash-Version nutzen. Hier reicht bereits das Aufrufen einer solchen Website, um etwa weitere böswillige Software nachzuladen. Viele Webseiten basieren bereits auf HTML5 und erfordern somit kein Flash mehr. Wir empfehlen daher Flash nur dann einzusetzen, wenn häufig besuchte Webseiten das Plugin zwingend benötigen. Die bei der Erstellung dieses Beitrags aktuelle Adobe Flash Player-Version ist 31.0.0.108.

Technische Darstellung: (CVE-2017-11292)

A malicious document embeds the same Flash object twice in an ActiveX control for an unknown reason, although this is likely an operational mistake. The Flash files work in the same manner as the last known attack using this tool: the embedded Flash decompresses a second Flash object that handles the communication with the exploit delivery server. The only difference is that this second Flash object is no longer stored encrypted. There are other signs that this campaign was devised hastily: for example, the actors did not change the decryption algorithm constants as they have in the past. These particular constants were already used in a late December 2016 campaign. Each document uses a different domain for victim exploitation, while the communication protocol with the server stayed the same as well.

error: