image

Adobe Flash exploit was eerst onschuldig bestand

donderdag 10 juni 2010, 00:46 door Redactie, 2 reacties

Het zero-day lek dat hackers actief misbruiken voor het overnemen van systemen, was ooit een onschuldig bestand, zo blijkt uit analyse. Aanvallers veranderden slechts één byte aan het oorspronkelijk onschuldige SWF-bestand, waardoor Adobe vandaag met een noodpatch zal komen. Door de tekst in het bestand te 'Googlen', ontdekte beveiligingsbedrijf Websense dat de exploit van een goedaardig bestand afkomstig was. "Dit betekent mogelijk dat de aanvaller het SWF-bestand voor dummy fuzzing gebruikte", zegt analist Matt Oh.

Via een SWF decoder ontdekte hij dat het verschil met het originele bestand slechts één byte is. Uit analyse van Oh blijkt dat de aanvallers heap spray toepasten. "Heap-spray zorgt ervoor dat veel beveiligingslekken zijn te misbruiken, waarvan eerst werd gedacht dat ze nutteloos waren. Code auditors moeten beter opletten bij het zoeken van dit soort lekken."

Inmiddels heeft ook Zynamics een zeer uitgebreide analyse van de exploitcode online gezet, inclusief het kwaadaardige PDF-bestand! "Het kwaadaardige PDF-bestand zit in het ZIP pakket. Let dus op en backdoor jezelf niet per ongeluk", merkt Sebastian Porst op.

Reacties (2)
10-06-2010, 15:50 door Bert de Beveiliger
Aanvallers veranderden slechts één byte aan het oorspronkelijk onschuldige SWF-bestand, waardoor Adobe vandaag met een noodpatch zal komen

Deze oorzaak-gevolg constructie is niet goed. Probeer eens iets als:

'Aanvallers veranderden slechts één byte aan het oorspronkelijk onschuldige SWF-bestand, waardoor het in malware veranderde. Om deze te bestrijden komt Adobe vandaag met een noodpatch."
10-06-2010, 20:48 door Sith Warrior
Ze hebben bij adobe flash 10.1 vrij gegeven, eindelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.