Jede Desktoplösung ist von dieser Schwachstelle betroffen, ein Update ist aber in Sicht: „Adobe will address this vulnerability in a release planned for the week of February 5.“ [1] Im Vergleich zur Firefox Lücke muss der Anwender hier selber „aktiv“ werden, damit er erfolgreich angegriffen werden kann.

Dem Angriff geht eine Übertragung eines Office-Dokumentes voraus, welches einen aktiven Inhalt enthält. Dieser aktive Inhalt benötigt den Flash Player und nutzt die bekannt gewordene Schwachstelle [2] aus. Das Dokument selbst wird in der Regel per E-Mail versendet und kann nach dem Öffnen beliebigen (Schad-)Code mit den Rechten des Nutzers, (ähnlich der Sicherheitslücke im Firefox) ausführen. Als Opfer dieses Angriffs sind Windows-Clients definiert, gefährdet ist jedoch jedes System (Linux, MacOS, ChromeOS, Windows) und jede Version des Flash Players.

Angriffsszenarien sind auch hier sehr vielseitig.
Im Gegensatz zur Firefox-Lücke kann eine Flashanwendung/ein aktiver Inhalt basierend auf dem Flash Player aus dem Internet keinen Schadcode ausführen, so lange dieser im Browser ausgeführt wird. Ein Browser behandelt Inhalte, die von externen Quellen (also aus dem Internet) stammen anders, als interne (vom Computer ausgehende.) Wo interne Quellen auf Grundlage der Rechte des jeweiligen Nutzeraccounts agieren, können externe Quellen nur mit Browser-Rechten arbeiten. D.h. sie können weder Content an kritische Stellen nachladen/installieren, noch andere Anwendungen auf dem Computer (wie z.B. die PowerShell) ausführen. Daher besteht nur ein geringes Risiko bei Webanwendungen.

Angreifer müssen sich also in die Lage versetzen, den Nutzer dazu zu bringen diesen aktiven Inhalt „freiwillig“ auszuführen. Sobald eine solche Datei ausgeführt wurde kann auch hier der Angreifer alles machen, wonach ihm beliebt und sich, mit etwas Zeit, auch die administrativen Rechte besorgen.

Wie kann sich ein Anwender davor schützen?

Eine Grundregel im Umgang mit fremden Inhalten: Traue niemals einer E-Mail, dessen Absender unbekannt ist. In diesem Sinne muss ein „Opfer“ erst selbst aktiv werden, und die sinnbildliche Tür aufsperren, bevor der Angreifer hereinkommen kann. Daher eine Empfehlung: Keine Anhänge von unbekannten Absendern öffnen, nicht jeder Datei aus dem Netz trauen. Datenformate, die aktive Inhalte enthalten können, erstmal aus dem Weg gehen. Auch bei bekannten Absendern sollte man sich aktuell vorher darüber vergewissern, dass dieser auch wirklich die Mail versendet hat, da Mail-Header (d.h. Absender von Mails und andere Informationen) recht leicht fälschbar sind. [3]

Risiko Einschätzung

Das Risiko lässt sich als Hoch einstufen. Da der Nutzer erst selber aktiv werden muss, gilt im Vergleich zur Firefox Lücke nur die hohe und nicht die sehr hohe Risikostufe.

 

[1] https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4878

[3] https://anti-scam.de/cgi-bin/yabb2/YaBB.pl?num=1276330468

| | | ,