Forscher finden bisher unbekannte Exploits unter den durchgesickerten Dateien des Hacking-Teams

Forscher gesiebt Durch 400 GB Daten, die kürzlich von Hacking Team, einem italienischen Unternehmen, das Computerüberwachungssoftware an Regierungsbehörden auf der ganzen Welt verkauft, zugespielt wurden, wurde in Flash Player bereits ein Exploit für eine nicht gepatchte Sicherheitslücke gefunden.

Es gibt auch Berichte über Exploits für Schwachstelle in Windows und eine in SELinux, einem Linux-Kernel-Sicherheitsmodul, das Richtlinien zur Zugriffssteuerung erzwingt. Die Fehler wurden angeblich von den Kunden des Unternehmens verwendet, um ihre Software stillschweigend auf Computern von Überwachungszielen einzusetzen.

Hacking Team wurde als HT in Mailand gegründet und entwickelt ein Computerüberwachungsprogramm namens RCS (Remote Control System) oder Galileo. Das System wird an Strafverfolgungsbehörden und andere Regierungsbehörden auf der ganzen Welt verkauft, zusammen mit dem Zugang zu Computer-Eindringungs-Tools, die für die Bereitstellung benötigt werden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Nachrichten Das Hacking Team hatte sein Netzwerk am Sonntag kompromittiert, als der Hacker 400 GB Daten von den Servern des Unternehmens entwendet hatte, darunter E-Mail-Kommunikation, Quellcode, Kundenlisten, Rechnungen, verschiedene Server-Backups und mehr.

Das Unternehmen hat In der Vergangenheit wurde sie von Privat- und Menschenrechtsgruppen beschuldigt, ihre Software an Regierungen zu verkaufen, die eine schlechte Erfolgsbilanz in Bezug auf die Achtung der Menschenrechte hatten, die sie dann dazu benutzten, Journalisten und politische Aktivisten auszuspionieren. Die neu gesickerten Daten deuten darauf hin, dass die Kunden des Unternehmens Regierungsbehörden aus Ländern wie Aserbaidschan, Bahrain, Ägypten, Äthiopien, Kasachstan, Marokko, Nigeria, Oman, Saudi-Arabien und Sudan umfasst.

Die meisten Antivirus-Produkte erkennen Hacker-Team RCS als Malware Das Unternehmen ändert aktiv das Programm, um einer solchen Erkennung zu entgehen.

Die Sicherheitsgemeinschaft hatte am Montag einen Feldtag, bei dem sie den 400-GB-Daten-Dump durchging. Sie fanden Dinge wie schwache Passwörter in Textdateien gespeichert; Schlüsselgeneratoren und Seriennummern für kommerzielle Raubkopiersoftware; der Quellcode für Versionen von RCS für Windows, Linux, Android, iOS, OS X und andere Plattformen oder interne Dokumente, die die Dienste und Preise des Unternehmens erklären.

Noch wichtiger ist, dass einige Sicherheitsforscher Exploits für bisher unbekannte und ungepatchte gefunden haben Schwachstellen - diese werden Zero-Day-Exploits genannt. Sie vermuteten, dass solche Exploits unter den Dateien existierten, weil sie perfekt sind, um Benutzercomputer mit RCS zu infizieren, und weil die Dokumentation des Unternehmens dies nahelegte.

Zum Beispiel enthält ein Dokument Details über einen Service, den das Hacking Team das RCS Exploit Portal nennt .

"HackingTeam hat seine Expertise in offensiver Sicherheit und Software-Design kombiniert, um einen Service zu erstellen, der Exploits als Installationsvektoren für RCS-Agenten einfach vorbereiten und nutzen kann", heißt es im Dokument.

Laut dem Dokument enthält der Service Social-Engineering-Exploits, öffentliche Exploits, private Exploits und Zero-Day-Exploits und das Unternehmen stellt fest, dass das Exploit-Portal immer mindestens drei Zero-Day-Exploits enthält.

Eine der bestätigten Zero-Day-Exploits im Daten-Dump wirkt sich aus Flash Player und kann verwendet werden, um Computer zu infizieren, wenn ihre Benutzer Websites im Internet Explorer besuchen.

Carsten Eiram, Chief Research Officer bei Risk Base d Security hat den Exploit getestet und bestätigt, dass er zuverlässig mit der neuesten Version von Flash Player arbeitet, der unter Internet Explorer 11 unter Windows 7 32-bit läuft.

"Wir konnten ihn nicht auf einem vollständig gepatchten Win ausführen 8.1 Pro mit installiertem Flash, aber es kann nur einige Feinabstimmungen erfordern, um zusätzliche Schutzmechanismen zu umgehen ", sagte Eiram per E-Mail.

Adobe ist über den gemeldeten Exploit informiert und erwartet ein Update für Flash Player Mittwoch, einen Adobe-Vertreter sagte per Email.

Es gab auch Berichte auf Twitter von anderen Sicherheitsforschern über eine Zero-Day-Exploit in Win32k.sys, eine Windows-Komponente, in den Hacking-Team-Daten gefunden.

Forscher von Antivirus-Firma Trend Micro sagte in einem Blog-Eintrag, der durchgesickert Hacking-Team-Dateien enthalten zwei Exploits für Flash Player, von denen einer bereits bekannt ist und gepatcht wurde, und einer für den Windows-Kernel.

Eirams Team untersucht auch einen möglicherweise neuen Exploit für Windows-Berechtigungen, der möglicherweise identisch ist in den anderen Berichten erwähnt, aber er konnte darüber hinaus keinen Kommentar abgeben, weil das Problem nicht vollständig untersucht oder bestätigt wurde.

"Wir glauben, dass das Gesamtrisiko für Kunden begrenzt ist, da diese Anfälligkeit allein nicht erlauben Sie einem Angreifer, die Kontrolle über eine Maschine zu übernehmen ", sagte ein Microsoft-Vertreter per E-Mail. "Wir empfehlen Kunden, das Adobe-Update zu installieren und arbeiten an einer Lösung, um dieses Problem zu beheben."

Andere Benutzer berichteten auf Twitter und Reddit, dass die Daten des Hacking-Teams auch einen Exploit zur Umgehung der SELinux-Durchsetzungsmaßnahmen enthalten

Das Datenleck und die Enthüllungen des Hacking-Teams kommen aufgrund der vorgeschlagenen Änderungen an einem internationalen Rüstungskontrollpakt namens Wassenaar Arrangement, der den Export von Exploits und anderer Computer-Intrusion-Software einschränken würde.

Diese Geschichte wurde aktualisiert um 09:25 Uhr PT mit Kommentaren von Microsoft.