Suchen

Risiko-Plugins Flash und PDF werden zum Angriffsziel Malware attackiert Flash-, PDF- und Quicktime-Plugins

Redakteur: Peter Schmitz

Um einen Opfer-Computer zu übernehmen, muss es einem Angreifer mithilfe einer Sicherheitslücke gelingen, Schadsoftware auf dem PC zu installieren. Die ersten Angriffe dieser Art richteten sich gegen den Internet Explorer oder andere Windows-Komponenten. Heute geraten zunehmend Browser-Plungins wie Flash, Acrobat oder Quicktime ins Visier der Angreifer.

Firma zum Thema

Schwachstellen in Browser-Plugins wie Flash, Acrobat oder Quicktime sind heute ein einfaches und lohnendes Hauptangriffsziel für Cyberkriminelle.
Schwachstellen in Browser-Plugins wie Flash, Acrobat oder Quicktime sind heute ein einfaches und lohnendes Hauptangriffsziel für Cyberkriminelle.
( Archiv: Vogel Business Media )

Angriffe gegen Sicherheitslücken in Windows, im Internet Explorer oder in anderen Systemkomponenten sind ein guter Weg um Zugang zum System zu erlangen, da eine Schwachstelle hier oft tiefe Eingriffe ins System erlaubt.

Seit wenigen Jahren haben Kriminelle aber einen effizienteren Angriffsvektor gefunden. Denn ein Internet-Explorer-Exploit bleibt wirkungslos bei allen potenziellen Opfern, die Firefox verwenden, und umgekehrt gilt dasselbe. Was aber alle Nutzergruppen gemeinsam haben, sind bestimmte Browser-Plugins, und hier setzen Viren-Autoren an.

Betroffen sind insbesondere zwei Standardprogramme von Adobe, nämlich das Flash-Plugin und der Adobe Reader für PDFs. Angriffe mit gezinkten PDFs erfolgen häufig per Spam-E-Mail, sodass es nicht übertrieben ist, das PDF eines unbekannten Senders für genauso verdächtig und gefährlich zu halten wie eine EXE aus selber Quelle.

Abwehr von Drive-by-Attacken

Leider ist dies die ungefährlichere Angriffsform. Die meisten Attacken erfolgen mithilfe so genannter Drive-by-Downloads: Allein der Besuch einer Website reicht, um das eigene System zu infizieren: Der Angreifer schiebt dem Besucher die vergiftete Datei zu. Im Falle von PDFs hilft es, die Anzeige von PDFs im Browser abzuschalten. So ist wenigstens noch eine eigene Handlung (nämlich der explizite Aufruf des PDFs) notwendig, um die Infektion auszulösen.

Schwieriger ist die Angelegenheit bei Flash-Dateien, die stets im Browser angezeigt werden und die auf sehr, sehr vielen Websites Anwendung finden. Zwar gibt es Tipps, bei offensichtlich illegitimen Flash-Inhalten („Soll Ihr Computer JETZT auf Viren gescannt werden?“) niemals auf „Ja“ oder „Nein“ zu klicken, sondern den Dialog per Klick aufs „X“ zu beenden.

Seite 2: Alternativ-Plugins als rettender Ausweg?

Aber dies hilft nur bei einfach gestrickter Malware: Den meisten Flash-Exploits gelingt von harmlosen oder sogar bekannten Webseiten aus, über manipulierte Werbebanner oder iFrames ohne weiteres Zutun des Anwenders die Installation.

Dies bedeutet für eine sauber administrierte Firmenumgebung, dass trotz installierter AV-Lösungen Flash auf Mitarbeiterrechnern Tabu sein sollte. Ob sich das allerdings bei der zunehmenden Flash-lastigkeit des Web flächendeckend im Unternehmen umsetzen lässt ist fraglich.

Alternativ-Programme als Lösung?

Eine derartig „saubere“ Lösung ist bei dem business-relevanten PDF-Format kaum möglich. Zwar gibt es Alternativen zum Adobe Reader, z.B. FoxIt, Nuance oder Sumatra. Allerdings können die Ersatzprogramme den Adobe Reader oft nicht vollständig ersetzen, wenn es um komplexere PDFs geht. Abteilungen, bei denen es wirklich um eine genaue Darstellung der Inhalte geht (Marketing, Publishing etc.), werden auf dem Adobe-Programm bestehen.

Flash und PDF sind die beliebtesten Angriffsziele, weil diese Formate auf praktisch jedem Rechner unterstützt werden. Zusätzlich hat sich der Hersteller Adobe in den vergangenen Jahren nicht immer mit zeitnahen Updates auszeichnen können – oft blieben brandgefährliche Lücken lange Zeit ohne Patch. Gleichwohl ist im Prinzip jedes Plugin ein mögliches Einfallstor. Denkbar wären etwa Java-Attacken. Bislang ist wenig in dieser Hinsicht geschehen, sieht man von Proof-of-Concepts ab. Anscheinend ist die Sicherheitsstruktur durchdachter. Trotzdem bleibt auch hier ein theoretisches Risiko.

Fazit

Die Menge der potenziellen Einfallstore ist schier unbegrenzt. Malware-Autoren konzentrieren sich verständlicherweise stets auf die Komponente, die sich am leichtesten ausnutzen lässt (z.B., weil Updates nur mit großer Verzögerung erscheinen). Administratoren müssen davor sorgen, dass die vorhandenen Patches baldmöglichst eingespielt werden. Da das Deaktivieren von Komponenten (wie Flash) nicht immer eine Alternative ist, muss die installierte AV-Lösung das System als letzte Verteidigungslinie schützen.

(ID:2048519)