Cybercriminelen misbruiken op dit moment een nieuw beveiligingslek in Adobe Flash waar nog geen patch voor is en waardoor bijna alle Internetgebruikers ter wereld risico lopen om met malware besmet te raken. Symantec kwam onlangs in het bezit van een Adobe Acrobat PDF-bestand dat bij het openen malware installeert. Na verder onderzoek werd duidelijk dat het lek nog niet eerder in het wild was voorgekomen, maar ook dat de kwetsbaarheid niet in Adobe Reader zat, zoals in eerste instantie werd aangenomen, maar in Adobe Flash.
Volgens de virusbestrijder is een kwetsbaarheid in Flash veel ernstiger, omdat de technologie op meerdere platformen wordt gebruikt en in alle populaire browsers aanwezig is. Het bevindt zich in PDF documenten en is ook nog eens besturingssysteem onafhankelijk. "Daarom moet de dreiging van dit probleem niet licht worden opgevat", zegt Patrick Fitzgerald.
Daarnaast is de technologie overal aanwezig en valt het gebruikers niet eens meer op. "Waarom Flash exploits zo ernstig zijn? Omdat in het wild elke exploit een grote hoeveelheid installaties voor een aanvaller wint", aldus Thomas Ptacek van Matasano Security. Vanwege het gigantische aandeel gebruikers van Flash is het een zeer aantrekkelijk doelwit voor aanvallers.
Kwetsbaarheid
Vorige jaar publiceerde onderzoeker Mark Dowd een artikel over hoe hij een exploit voor een lek in Adobe Flash had gemaakt. Hij beschreef de obstakels die hij tegenkwam. "Het artikel gaf de lezer een bepaald gevoel van veiligheid, omdat het liet zien hoe moeilijk het was om een betrouwbare exploit te ontwikkelen, en toen de patch beschikbaar werd, konden we dit vervelende incident achter ons laten", gaat Fitzgerald verder. Alle exploits die de afgelopen tijd verschenen waren op het werk van Dowd gebaseerd, tot nu toe.
De makers van de nieuwe exploit hebben een lek in Flash via een heap spray techniek tot een betrouwbare exploit weten om te bouwen. Zodra de gebruiker een website of PDF bestand opent, wordt er vervolgens een Trojaans paard geïnstalleerd. Voor zover bekend wordt de aanval alleen gebruikt in combinatie met PDF-bestanden. Symantec verwacht dat het aantal exploits en aanvallen alleen maar zal toenemen. De beveiliger merkt op dat Windows Vista NIET kwetsbaar is als UAC is ingeschakeld. Verder treft het lek alle programma's die Flash gebruiken. Adobe laat weten dat het meldingen van een lek in Adobe Reader en Acrobat 9.1.2 en Adobe Flash Player 9 en 10 heeft ontvangen en onderzoekt.
Oplossing
De Belgische beveiligingsonderzoeker Didier Stevens laat Security.nl weten dat er in afwachting van een patch een tijdelijke oplossing is. "Als jullie een sprankeltje hoop aan jullie lezers willen geven, heb ik een 'quick & dirty' patch om Flash in Adobe Reader uit te schakelen." Gebruikers moeten met een hex editor het bestand AcroRd32.dll wijzigen en het woord RichMedia door Richmedia vervangen. Er is maar één instantie van RichMedia dat een compleet woord is, alle andere zijn substrings van een ander woord. Voor AcroRd32.dll version 9.1.2.82 is dat op positie 8F98FE. Het enige risico van deze aanpassing is dat latere updates mogelijk niet goed functioneren.
Het US-CERT komt met het volgende advies om Flash in Adobe Reader 9 op Windows platformen uit te schakelen door de volgende bestanden te hernoemen: "%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll" en "%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll".
Update 10:25
Volgens het bedrijf Purewire wordt de exploit inmiddels ook via Flash filmpjes verspreid en zou nog geen enkele virusscanner die herkennen.
Deze posting is gelocked. Reageren is niet meer mogelijk.