image

Nieuw Flash-lek treft miljoenen Internetgebruikers

donderdag 23 juli 2009, 09:20 door Redactie, 18 reacties

Cybercriminelen misbruiken op dit moment een nieuw beveiligingslek in Adobe Flash waar nog geen patch voor is en waardoor bijna alle Internetgebruikers ter wereld risico lopen om met malware besmet te raken. Symantec kwam onlangs in het bezit van een Adobe Acrobat PDF-bestand dat bij het openen malware installeert. Na verder onderzoek werd duidelijk dat het lek nog niet eerder in het wild was voorgekomen, maar ook dat de kwetsbaarheid niet in Adobe Reader zat, zoals in eerste instantie werd aangenomen, maar in Adobe Flash.

Volgens de virusbestrijder is een kwetsbaarheid in Flash veel ernstiger, omdat de technologie op meerdere platformen wordt gebruikt en in alle populaire browsers aanwezig is. Het bevindt zich in PDF documenten en is ook nog eens besturingssysteem onafhankelijk. "Daarom moet de dreiging van dit probleem niet licht worden opgevat", zegt Patrick Fitzgerald.

Daarnaast is de technologie overal aanwezig en valt het gebruikers niet eens meer op. "Waarom Flash exploits zo ernstig zijn? Omdat in het wild elke exploit een grote hoeveelheid installaties voor een aanvaller wint", aldus Thomas Ptacek van Matasano Security. Vanwege het gigantische aandeel gebruikers van Flash is het een zeer aantrekkelijk doelwit voor aanvallers.

Kwetsbaarheid
Vorige jaar publiceerde onderzoeker Mark Dowd een artikel over hoe hij een exploit voor een lek in Adobe Flash had gemaakt. Hij beschreef de obstakels die hij tegenkwam. "Het artikel gaf de lezer een bepaald gevoel van veiligheid, omdat het liet zien hoe moeilijk het was om een betrouwbare exploit te ontwikkelen, en toen de patch beschikbaar werd, konden we dit vervelende incident achter ons laten", gaat Fitzgerald verder. Alle exploits die de afgelopen tijd verschenen waren op het werk van Dowd gebaseerd, tot nu toe.

De makers van de nieuwe exploit hebben een lek in Flash via een heap spray techniek tot een betrouwbare exploit weten om te bouwen. Zodra de gebruiker een website of PDF bestand opent, wordt er vervolgens een Trojaans paard geïnstalleerd. Voor zover bekend wordt de aanval alleen gebruikt in combinatie met PDF-bestanden. Symantec verwacht dat het aantal exploits en aanvallen alleen maar zal toenemen. De beveiliger merkt op dat Windows Vista NIET kwetsbaar is als UAC is ingeschakeld. Verder treft het lek alle programma's die Flash gebruiken. Adobe laat weten dat het meldingen van een lek in Adobe Reader en Acrobat 9.1.2 en Adobe Flash Player 9 en 10 heeft ontvangen en onderzoekt.

Oplossing
De Belgische beveiligingsonderzoeker Didier Stevens laat Security.nl weten dat er in afwachting van een patch een tijdelijke oplossing is. "Als jullie een sprankeltje hoop aan jullie lezers willen geven, heb ik een 'quick & dirty' patch om Flash in Adobe Reader uit te schakelen." Gebruikers moeten met een hex editor het bestand AcroRd32.dll wijzigen en het woord RichMedia door Richmedia vervangen. Er is maar één instantie van RichMedia dat een compleet woord is, alle andere zijn substrings van een ander woord. Voor AcroRd32.dll version 9.1.2.82 is dat op positie 8F98FE. Het enige risico van deze aanpassing is dat latere updates mogelijk niet goed functioneren.

Het US-CERT komt met het volgende advies om Flash in Adobe Reader 9 op Windows platformen uit te schakelen door de volgende bestanden te hernoemen: "%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll" en "%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll".

Update 10:25
Volgens het bedrijf Purewire wordt de exploit inmiddels ook via Flash filmpjes verspreid en zou nog geen enkele virusscanner die herkennen.

Reacties (18)
23-07-2009, 10:03 door cjkos
Met de flashblock add-on in firefox zit je in beginsel dus ook goed (volgens het originele verhaal, maar missend in dit stuk).
23-07-2009, 10:03 door cpt_m_
vraagje!!!

Gaat een lokale virusscanner de malware detecteren als er een PDF bestand opent waarin Malware zit verstopt?
Heeft deze Malware effect als de gebruiker lokaal geen lid is van de administrator groep?

Wordt een dergelijk PDF bestand via e-mail gedetecteerd als men gebruikt maakt van externe partijen die alle e-mail controleert op Malware?
23-07-2009, 10:18 door [Account Verwijderd]
[Verwijderd]
23-07-2009, 10:31 door cpt_m_
Bedankt voor je reactie RvdMeer.
Zoals je aangeeft detecteert ESET de Trojan.Pidief.G :)
Helaas werkt de Virus Encyclopedia van NOD32 niet :(
23-07-2009, 11:42 door Anoniem
Ik adviseer altijd om PDF reader in je browser zelf uit te schakelen, gewoon downloaden en uitvoeren.
Veel veiliger en makkelijker, en vooral je browser loopt niet meer vast...

Als deze Update er komt kunnen ze dan gelijk alle programma's die Flash gebruiken, als:
Adobe Bridge en Dreamweaver een update geven... want ik moet daar altijd die de Flash player handmatig bijwerken. en ik DW C2 moest ik zelfs de GDI+ DLL handmatig bijwerken :|
23-07-2009, 11:43 door cyberpunk
Door cjkos: Met de flashblock add-on in firefox zit je in beginsel dus ook goed (volgens het originele verhaal, maar missend in dit stuk).

Met NoScript wordt Flash ook mooi geblokkeerd, vandaar dat ik het nut van Flashblock nooit echt heb ingezien. :-?
23-07-2009, 12:27 door SirDice
Flash in een PDF bestand? Het moet niet gekker worden hoor...
23-07-2009, 12:31 door SirDice
Door cpt(m): Heeft deze Malware effect als de gebruiker lokaal geen lid is van de administrator groep?

De beveiliger merkt op dat Windows Vista NIET kwetsbaar is als UAC is ingeschakeld.

Dus ik vermoed een XP gebruiker zonder admin rechten ook niet.
23-07-2009, 12:39 door cpt_m_
Door SirDice:
Door cpt(m): Heeft deze Malware effect als de gebruiker lokaal geen lid is van de administrator groep?

De beveiliger merkt op dat Windows Vista NIET kwetsbaar is als UAC is ingeschakeld.

Dus ik vermoed een XP gebruiker zonder admin rechten ook niet.

Dat dacht ik dus ook SirDice
23-07-2009, 19:30 door Anoniem
hoe moet je dat bestand veranderen dan? ik heb met de HTHexEditor geprobeerd het woord RichMedia te vinden, maar kon hem niet vinden en als je 2 bestanden moet hernoemen, hoe gaat dat dan? moet je ze gewoon een willekeurige andere naam geven of zo of moet je ze ook met een hex editor openen? en zitten die twee bestanden in het register en waar kun je bestanden vinden die beginnen met een procent %-teken, die zitten toch alleen in het register dacht ik? kunnen de tips ietsje preciezer zijn aub :-)
23-07-2009, 21:21 door Anoniem
http://milw0rm.com/exploits/9233

daar is dus de source van dit lek :P
24-07-2009, 00:38 door Anoniem
the specials : wondering now, what to do, now i know this is the end.....
24-07-2009, 08:28 door Anoniem
Ja leuk die windows workaround, zit er voor mij als linux gebruiker ook nog een work-around in? ;(
24-07-2009, 12:28 door SirDice
Door Anoniem: Ja leuk die windows workaround, zit er voor mij als linux gebruiker ook nog een work-around in? ;(
Yep, verwijder de flash plugin. Deze staat meestal in ~/.mozilla/plugins.
24-07-2009, 12:34 door Anoniem
maar wat kan dit in Linux aanrichten, niets toch ?
24-07-2009, 12:41 door Ilja. _V V
DEL C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.dll
24-07-2009, 16:18 door Anoniem
Probleem hiervan is wederom weer dat virusscanners de signatures van de verschillende bestanden die de flash code kunnen herkennen, maar niet het flash gedeelte zelf doen. Vaak scannen ze alleen de signature van het bestand en hoogsten de signature van het flash stuk, maar nooit de scripts die uitgevoerd worden. Hierdoor worden nieuwe versies met hetzelfde exploit vaak niet herkend door signature based oplossingen. Go go pro actieve scanners zoals bijvoorbeeld Finjan!
26-07-2009, 22:43 door Anoniem
Door SirDice:
Door cpt(m): Heeft deze Malware effect als de gebruiker lokaal geen lid is van de administrator groep?

De beveiliger merkt op dat Windows Vista NIET kwetsbaar is als UAC is ingeschakeld.

Dus ik vermoed een XP gebruiker zonder admin rechten ook niet.

Die heeft toch géén UAC ???

Emphyrio :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.