SANS: Analyse des kürzlich entdeckten Flash-Wurms

Die Sicherheits-Spezialisten kamen zu dem Schluss, dass Flash nur als Träger des Wurms genutzt wurde. Der eigentliche Angriff erfolgte mittels JavaScript. Mit ähnlichem Schadcode wurde auch Twitter vor kurzer Zeit angegriffen. Eine Überraschung sei das nicht gewesen, weil beide Würmer ähnliche Dienste angegriffen hätten. Der Flash-Wurm wurde zuerst auf der chinesischen Social-Network-Seite renren.com gefunden. Dort können Anwender unter anderem Videos hochladen und anderen zur Verfügung stellen. Ebenso können Nutzer auf Flash-Videos verweisen. Und genau hier setzte die Angreifer an.

Die URL zu einer SWF-Datei nutzte eine Funktion mit Namen playswf(). Diese Funktion legt unter anderem ein eingebettetes Objekt an und enthält allowScriptAccess=“always“. Das machten sich die Bösewichte zu Nutzen und verlinkten eine nur 369 lange Flash-Datei, in der sich der schädliche Code befand. Die Experten weisen darauf hin, dass der Umgang mit Flash-Dateien gefährlich sei kann. Hier wurde keine Sicherheits-Lücke in Flash genutzt, sondern eine Unachtsamkeit der Webseiten-Betreiber. (jdo)