Flash Player Nordkoreanische Hacker nutzen Sicherheitslücke aus

Seit Tagen bedroht eine Sicherheitslücke im Flash Player Computernutzer weltweit. Jetzt haben IT-Experten Hinweise gefunden, dass nordkoreanische Hacker den Fehler ausnutzen.

Manipulierte Exceltabelle
Talos

Manipulierte Exceltabelle


2020 soll Schluss sein mit dem Flash Player, das kündigte der Softwarekonzern Adobe vergangenes Jahr an. Bis dahin aber wird man weiter damit leben müssen, dass die Multimediasoftware chronisch anfällig für Sicherheitslücken ist, die immer wieder mit Notfall-Updates gestopft werden müssen. So wie jetzt.

Gemeldet hatte Adobe das neuerliche Problem am Donnerstag vergangener Woche. Die "kritische Schwachstelle" mit der laufenden Nummer CVE-2018-4878 betreffe die aktuelle Flash-Player-Version 28.0.0.137 und deren Vorläufer, heißt es vom Hersteller. Man habe außerdem Kenntnis davon, dass die Sicherheitslücke bei "begrenzten Angriffen gegen Windows-Nutzer" ausgenutzt werde. Die Täter würden dazu manipulierte Officedateien verwenden.

Während sich Adobe gewohnt knapp zu dem Problem äußert, haben ein paar auf IT-Sicherheit spezialisierte Firmen weit mehr dazu herausgefunden und veröffentlicht. Talos beispielsweise, Ciscos Netzwerksicherheitssparte, erläutert in einem Blogpost das fast schon klassische Vorgehen der Angreifer: In eine Exceltabelle eingebetteter Flash-Schadcode lädt die eigentliche Schadsoftware auf den Rechner des Opfers, sobald dieses die fragliche Datei öffnet.

Die Spuren führen nach Nordkorea

Die Schadsoftware selbst sei eine seit Langem bekannte PC-Fernsteuerungssoftware, ein "Remote Administration Tool" (RAT), namens ROKRAT. Sie werde von verschiedenen manipulierten Webservern heruntergeladen, die allesamt in Südkorea stehen.

Der Sicherheitsanbieter FireEye geht noch einen Schritt weiter und vermutet die Angreifer in Nordkorea. "Wir glauben, dass es sich bei dem Angreifer hinter diesem neuesten Flash-Zero-Day um eine nordkoreanische Gruppe handelt, die wir als Reaper bezeichnen", schreibt FireEye-Manager John Hultquist in einem Blogeintrag.

Die Annahme basiere auf der Beobachtung, dass die Täter versehentlich Daten zu einem Server aus dem nordkoreanischen IP-Raum hochgeladen hätten. Zudem habe man die Ziele der Angreifer in Südkoreas Regierungs-, Militär- und Verteidigungsindustrie sowie anderen Industriezweigen identifiziert. "Sie haben sich auch für vorhersehbare nordkoreanische Interessen wie Vereinigungsbemühungen und Überläufer interessiert", heißt es von FireEye zudem.

Ein Update ist angekündigt

"Dies ist einer der nordkoreanischen Angreifer, um die wir uns in Bezug auf die Olympischen Spiele Sorgen machen", schreibt Hultquist. "Sie könnten den Auftrag haben, Informationen zu sammeln und möglicherweise Angriffe durchzuführen." Bisher habe sich die fragliche Gruppe aber keine zerstörerischen Aktivitäten zuschulden kommen lassen.

Ein Update, das die Sicherheitslücke im Flash Player schließt, hat Adobe für den 5. Februar angekündigt. Anwender, die das Programm auf ihrem Computer installiert haben, sollten diese Aktualisierung umgehend installieren. Welche Version aktuell installiert ist, kann man auf dieser Seite überprüfen. Alle Versionen bis zur Nummer 28.0.0.137 sind gefährdet.

Die jeweils aktuelle Version des Flash Players können Sie von dieser Seite herunterladen. Dabei sollten Sie allerdings aufpassen, ob Sie die zusätzlich angebotenen Angebote McAfee Security Scan Plus und McAfee Safe Connect wirklich auch installieren wollen. Im Zweifel klicken Sie einfach die Häkchen weg.

mak

Mehr zum Thema


insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
rapto18 05.02.2018
1. Nichts neues
Abgesehen von Nordkorea, ist Flash doch schon seit Jahren als Risiko in der Kritik. Man muss nicht damit leben, alle bekannten Sites verwenden HTML5 bzw. man braucht es einfach nicht. Da halte ich Javascript aktuell für gefährlicher als Einfallstor, weil es fast überall eingesetzt wird.
Brasilianer 05.02.2018
2. Abhängen vom Internet
Verstehe nicht wieso Nordkorea am Internet angeschlossen ist. Wäre doch eine Chance alle Diktaturen nicht ans Internet zu lassen. Für Internat. Organisationen gibt es doch Sat Internet. Verstehe ich da etwas falsch????....
eichenbohle 05.02.2018
3. Ach was?
Die Nordkoreaner? Und wer noch? Amis, Russen, Chinesen, Israelis, Deutsche, Briten, Franzosen, Iraner, Saudis, ....... und Unmengen an Hinterhofhackern und kriminelle/mafiöse Organisationen etwa nicht? Wenn es über "Lücken" (oder gar beabsichtigte Hintertüren die geknackt wurden) etwas zu holen gibt, dann sich ALLE dabei. Oder warum werden mal wieder die Nordkoreaner als Buhmann in den Vordergrund geschoben? Wie oft in den letzten 20 Jahren sind "Hacker" nicht nur über Programmierfehler, sondern über beabsichtigte Hintertüren gestolpert - und haben diese ausgenutzten? Nur die NSA kann zuhören, das ist OK 08. Juni 1999 Duncan Campbell https://www.heise.de/tp/features/Nur-die-NSA-kann-zuhoeren-das-ist-OK-3563578.html (siehe auch: Five Eyes in Wiki) Und dann kommt eine riesenlange Liste, wenn man nur danach sucht. Und das nicht erst seit Snowden bekannt. Bereits 2003 gab es eine ZDF Reportage, wer sich in die Datenströme eingenistet hat. Da war von Russen, Chinesen und Nordkoreanern noch keine Rede. NSA und andere US-Geheimdienste halte ich für viel gefährlicher, da diese, wie bereits nachgewiesen, direkt durch US Soft- und. Hardwarehersteller weit bessere Zugangsmöglichkeiten haben - siehe nochmal: Hintertür Freund hört mit - US Spionage in der BRD https://www.youtube.com/watch?v=N4wsOgK36BM (Minute 6:10)
alfons11:45 05.02.2018
4. insert
Man muss nur häufig genug darüber reden, dann kommt z.B. Stuxnet entweder aus Russland oder Nordkorea. https://de.wikipedia.org/wiki/Stuxnet
cptlars 05.02.2018
5. Ich bin dabei Flash von allen
PCs zu tilgen... Das dauert nur leider ewig
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.