Exploit auf Amnesty-Seiten trickste AV-Software aus

Die Sicherheitsfirma Armorize berichtet in ihrem Blog von einem raffinierten Exploit, der beim Besuch einer Website den Rechner mit Schad-Software infizierte. Offenbar haben Kriminelle unter anderem auf den Webseiten der Menschrechtsorganisation Amnesty International einen so genannten Drive by Download platziert.

Der Exploit nutzte laut Armorize eine Sicherheitslücke in Flash aus, die Adobe erst vor einigen Tagen durch einen Notfall-Patch beseitigt hatte. Das besondere war die Art und Weise, wie die Kriminellen diese Lücke ausnutzten. Durch das Sicherheitsloch konnten sie eigenen Code in den Flash-Player einschleusen und ausführen. Typischerweise lädt dieser so genannte Shellcode dann von einem anderen Server über die Funktion URLDownloadToFile() das eigentliche Spionageprogramm herunter und startet es. Da Browser diese Funktion selbst eher selten verwenden, schöpft die Heuristik oder Verhaltensüberwachung moderner Antiviren-Software bei derartigen Aktivitäten häufig Verdacht und kann im Zweifelsfall sogar einschreiten, bevor es zu einer Infektion kommt.

Deshalb setzten die Kriminellen einen Trick ein. Sie betteten das Spionageprogramm über ein Script-Tag als vorgebliche JavaScript-Datei in eine Web-Seite ein. Damit lud der Browser die Datei herunter, speicherte sie in seinem Cache und versuchte dann, sie auszuführen. Das scheiterte zwar, weil es sich nicht um JavaScript sondern um ein ausführbares Win32-Programm handelte – aber das war egal. Denn nun konnte der via Flash gestartete Shellcode ganz ohne Download einfach auf der Festplatte im Browser-Cache nach der Datei suchen und sie von dort ausführen.

Laut Armorize hatte der Trick durchschlagenden Erfolg. Obwohl die Flash-Lücke bereits bekannt ist, erkannte von 42 Virenscanner kein einziger die bösartige Flash-Datei als Sicherheitsrisiko. Der Blog-Eintrag von Armorize enthält weitere Details, aber auch Exploit-Code, was dazu führen kann, dass Virenwächter Alarm schlagen. (ju)