Zero Day Exploit für Adobe Produkte und die Abhilfe

Wie heute bei Adobe zu lesen ist gibt es einen Zero-Day Exploit gegen Adobe Acrobat Reader und den Flash Player. Der Angriff richtet sich gegen die “Authplay.dll” und ermöglicht “Remote code Execution”, ist also als Kritisch einzustufen (zumindest aus meiner Sicht, eventuell hat ja der eine oder andere eine andere Meinung dazu). Leider lässt sich Adobe viel Zeit und möchte die Lücken erst gegen Ende des Monats stopfen. Ich halte das für diese Gefährdungslage für einen deutlich zu langen Zeitraum! Wir haben deshalb Maßnahmen ergriffen um die Integrität unseres Netzwerkes aufrecht zu erhalten. Wir haben uns eine Gruppenrichtlinie erstellt, die ein Computerstartskript ausführt und die betroffene Datei löscht. Das Löschen der Datei wurde auch von Adobe so empfohlen. Warum ein Computerstartskript? Weil System im Programmpfad Löschenrechte hat, der normale Benutzer nicht (das ist auch richtig und gut so, das wäre ja noch schöner wenn normale Benutzer Programme installieren könnten). In die Batchdatei, die wir für die Replizierung in dem Netlogon-Pfad abgelegt haben (wir haben mehrere Standorte die natürliche alle von dem Problem betroffen sind) steht ein simpler delete-Befehl für die Datei. Hier der Inhalt:

del /F "c:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
del /F "c:\Programme\Adobe\Reader 9.0\Reader\authplay.dll"

Unsere Mitarbeiter wurden gebeten die Rechner einmalig neu zu starten. Mitarbeiter die nicht da sind starten den Rechner eh neu, insofern ist die Situation für uns inzwischen bereinigt. Damit keine Fragen aufkommen: Ja, wir haben deutsche und englische Clients. Und ja, alle haben Adobe im selben Pfad installiert. Einziger Wermutstropfen: Die Anzeige der Zugriffstatistik für dieses Blog greift auf genau diese Datei zu. Tja, ich werde wohl ein paar Tage darauf verzichten müssen.

Danke an meinen Mitarbeiter Christian Kirchner der die Lücke entdeckt und auch sehr schnell reagiert hat.

Viele Grüße

Walter Steinsdorfer