Nieuws
image

Hackers misbruiken nu ook Flash Player-lek

vrijdag 29 oktober 2010, 15:48 door Redactie, 14 reacties

Ook het gisteren aangekondigde zero-day beveiligingslek in Adobe Flash Player wordt actief misbruikt voor het infecteren Windows systemen. Adobe liet weten dat alleen de zero-day kwetsbaarheid in Adobe Reader bij aanvallen was ingezet en dat er nog geen aanvallen tegen Flash Player bekend waren. Volgens anti-virusbedrijf CA gaat het om een PDF waarin een iPhone en iPad app wordt aangekondigd.

Kaspersky Lab komt vandaag met de waarschuwing dat het lek in Flash Player wel actief wordt misbruikt en dat het de bijbehorende malware heeft ontdekt. Hoewel de malware niet erg complex is, bevat die wel verschillende verrassingen, aldus Tillmann Werner. De bot maakt namelijk gebruik van een installatie optie, maar beschikt ook over een verwijder optie om zichzelf compleet van het systeem te verwijderen.

Eenmaal uitgevoerd injecteert "Sykipot.an" zich in de processen van Outlook, Internet Explorer en Firefox. De geïnjecteerde code stuurt elke vijf minuten een HTTP request naar news.mysundayparty.com en downloadt een versleuteld configuratiebestand. In dit bestand ontdekte Tillmann een string die verband houdt met een andere zero-day aanval op Internet Explorer, die begin dit jaar plaatsvond. Bij beide aanvallen probeerden de aanvallers informatie van het systeem te stelen. Een nog eerdere versie van de malware in kwestie zou ook al via een zero-day lek in Flash Player zijn verspreid.

Graag horen we van onze lezers of ze naar aanleiding van dit nieuwste zero-day lek Flash Player verwijderen, NoScript gebruiken of helemaal niets doen.

Reacties (14)
29-10-2010, 15:57 door Anoniem
Verwijderd dus....
29-10-2010, 16:33 door cyberpunk
Voorlopig verwijder ik Flash Player nog niet; ik draai al een hele tijd NoScript, dus... Ik wéét dat die niet waterdicht is (bijv. op websites die ik wél toelating geef), maar voorlopig reken ik daar op.
29-10-2010, 17:38 door Anoniem
Ik gebruik Linux en IceWeasel met NoScript. Ik heb gisteren naar aanleiding van het genoemde bericht de bewuste shared library van mijn systeem gegooid (die kennelijk alleen dient om Flash binnen PDF af te kunnen spelen, waarom zou je dat in godsnaam willen, was mijn eerste gedachte). Ik vroeg me af hoe lang het zou duren voordat Flash zelf ook actief aangevallen werd. Snel dus. Op dit moment alleen voor het infecteren van Windows-systemen, maar dat kan in dit tempo morgen anders zijn. Ik gooi Flash niet meteen van mijn systeem, maar word nog eens een heel stuk terughoudender met het activeren van Flash-content dan ik al was.
29-10-2010, 17:44 door Anoniem
Ik gebruik de Fx Flashblock extensie, http://goo.gl/sJVB
29-10-2010, 23:01 door Bitwiper
Ik gebruik NoScript en FlashBlock (http://flashblock.mozdev.org/). Na het (tijdelijk) toestaan van Javascript voor een specifieke site kun je vervolgens met FlashBlock per Flash object kiezen of je deze wilt starten.

Voor Chrome lijkt er ook een FlashBlock te bestaan. Is van een andere ontwikkelaar en ik heb er geen enkele ervaring mee. Zie https://chrome.google.com/extensions/detail/cdngiadmnkhgemkimkhiilgffbjijcie.

Twee tips voor de MSIE aanhangers:

Deze volgende page vond ik zojuist toevallig: http://www.winhelponline.com/blog/disable-flash-all-but-whitelist-sites-ie8/. Hier kun je lezen hoe je Flash binnen MSIE 8 (helaas niet MSIE 7) kunt disablen voor alle sites behalve een whitelist (die je zelf moet inrichten en bijhouden, en dat gaat erg eenvoudig). Hier hoef je helemaal niets voor te installeren!

Wat minder handig wellicht is de volgende tip die ik al eerder vermeldde op deze site:
Door Bitwiper op op 2010-10-10 (comment in http://www.security.nl/artikel/34701/1/Flash_bij_ING.html):
Als je bij MSIE zweert dan kun je evt. gebruik maken van "Toggle Flash" (zie http://flash.melameth.com/, heeft wel .NET framework v2.0 nodig). De versie op die site was zojuist nog ongewijzigd t.o.v. van wat ik eind 2009 heb gedownload (togflash.msi: md5=600732e2e250e1962646c6c2d149b913, sha1=fb2399e1d4927243baf79ef79e270e3fcf53d3cb).

Dit kleine programmaatje wijzigt door een klik op het icoontje (dat rechtbovenin MSIE verschijnt) de status van de Add-On "Flash" binnen MSIE tussen enabled en disabled. Helaas een wat gebruiksonvriendelijk ding omdat deze de actuele status (Flash enabled of disabled) niet laat zien in dat icoontje.

De volgende tip is dan wellicht handig:
- Download en installeer Toggle Flash
- Download http://www.adobe.com/swf/software/flash/about/flashAbout_info_small.swf en save deze bijv. als C:\hulpjes\flashAbout_info_small.swf (die map mag je zelf kiezen natuurlijk, je kunt deze swf natuurlijk ook opslaan onder C:\Program Files\Toggle Flash\).
- Start MSIE en tik in als URL: C:\hulpjes\flashAbout_info_small.swf
- Maak dat je MSIE homepage (in "Internet Opties" ziet dat eruit als: file:///C:/hulpjes/flashAbout_info_small.swf, spaties in mapnamen worden dan vervangen door %20).

Als je nu MSIE opstart en "Toggle Flash" staat aan, dan zal deze het versienummer van de geinstalleerde Flash plugin laten zien. Als Toggle Flash uit staat, krijg je een klein rood kruis en onderin MSIE een melding dat een plugin disabled is.

N.B. je "home page" wordt natuurlijk alleen getoond als je MSIE "kaal" opstart, niet als je deze opent door op een link in een mail te klikken of zo. Kwestie van discipline om Flash altijd meteen weer uit te schakelen nadat je het gebruikt hebt.
Correctie 2010-10-30 18:58 de eerste MSIE tip betreft alleen MSIE 8, niet 7; ik heb met n'n neus gekeken, sorry! (met dank aan Spiff die dit verderop opmerkt).
29-10-2010, 23:57 door Rene V
Inderdaad, gewoon NoScript + Flashblock + gezond verstand.. en dan kom je al een heel eind. Ik vind het behoorlijk paranoïde om gelijk Flash van het systeem te gooien.
Als er een ernstig lek in het Windows besturingsysteem wordt ontdekt, maar het duurt nog 3 weken voordat het tijdens patchdinsdag pas wordt gepatched, dan ga je toch ook niet zeggen: "Ik ga 3 weken lang niet meer het internet op totdat er een patch is!"
Kom op zeg.. als je weet hebt van een lek (aanval), dan ga je er toch voor zorgen dat je zoveel mogelijk doet om te vermijden dat het misbruikt wordt (verdediging). Ja, eraf gooien is ook een optie, maar dan kom ik toch weer terug om mijn eerste stelling wanneer er in Windows zelf een kwestbaarheid zit.
30-10-2010, 04:50 door Maki
Ik gebruik al meer als een half jaar geen Flash Player meer, en ben hier heel blij mee. Sites die mij dwingen om zo'n onveilige plugin te gebruiken krijgen van mij een email met daarin links naar de online resources waarop de onveiligheid van Flash Player is weergegeven en als zij dan geen actie ondernemen om HTML5 te gebruiken of een ander alternatief, dan bezoek ik hun site gewoon niet meer.

Er is geen enkele reden om Flash Player te gebruiken. Dus doe ik het niet.
30-10-2010, 12:51 door sjonniev
authplay.dll weer eens hernoemd... NoScript gebruik ik al.
30-10-2010, 12:52 door Anoniem
Door René V: Inderdaad, gewoon NoScript + Flashblock + gezond verstand.. en dan kom je al een heel eind. Ik vind het behoorlijk paranoïde om gelijk Flash van het systeem te gooien.
Als er een ernstig lek in het Windows besturingsysteem wordt ontdekt, maar het duurt nog 3 weken voordat het tijdens patchdinsdag pas wordt gepatched, dan ga je toch ook niet zeggen: "Ik ga 3 weken lang niet meer het internet op totdat er een patch is!"
Kom op zeg.. als je weet hebt van een lek (aanval), dan ga je er toch voor zorgen dat je zoveel mogelijk doet om te vermijden dat het misbruikt wordt (verdediging). Ja, eraf gooien is ook een optie, maar dan kom ik toch weer terug om mijn eerste stelling wanneer er in Windows zelf een kwestbaarheid zit.
Dat een beetje appels met peren vergelijken, Flash heb je niet nodig op het internet, ja mijn vrouw voor spellen maar verder kan ik goed zonder.
En als je in IE "zoveel mogelijk" wilt doen is verwijderen de beste optie.
Het is altijd hommeles met Adobe.
30-10-2010, 14:24 door Spiff has left the building
Door Bitwiper, vr. 29-10, 23.01uur: Deze volgende page vond ik zojuist toevallig: http://www.winhelponline.com/blog/disable-flash-all-but-whitelist-sites-ie8/. Hier kun je lezen hoe je Flash binnen MSIE 7 en 8 kunt disablen voor alle sites behalve een whitelist (die je zelf moet inrichten en bijhouden, en dat gaat erg eenvoudig). Hier hoef je helemaal niets voor te installeren!
Mooie tip voor IE8 gebruikers, Bitwiper, dank je voor het melden.
Een kanttekening:
Die uitleg over het aanleggen van een whitelist voor flash is specifiek voor IE8, niet voor IE7.
Zie:
How to Disable Adobe Flash Animations for All but White-Listed Sites in Internet Explorer 8
http://www.winhelponline.com/blog/disable-flash-all-but-whitelist-sites-ie8/
30-10-2010, 15:20 door Anoniem
Door Anoniem: Ik gebruik de Fx Flashblock extensie, http://goo.gl/sJVB
Je kan ook rechtstreeks linken, dan kunnen we zien waar welke website je verwijst zonder de linkt te moeten volgen.
30-10-2010, 15:27 door Anoniem
Door Bitwiper: Ik gebruik NoScript en FlashBlock (http://flashblock.mozdev.org/). Na het (tijdelijk) toestaan van Javascript voor een specifieke site kun je vervolgens met FlashBlock per Flash object kiezen of je deze wilt starten.
Dat kan met NoScript ook al geruime tijd.
30-10-2010, 18:58 door Bitwiper
@Spiff: je hebt gelijk, waarvoor mijn dank! Ik heb m'n bijdrage hierboven gecorrigeerd.
31-10-2010, 17:47 door P5ycH0
Ik zit op OSX en ondanks dat dit lek alleen Windows gebruikers betreft gebruik ik toch Click2Flash (een flashblokker).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure