Een dinsdag gepatcht beveiligingslek in Adobe Flash Player wordt op grote schaal door aanvallers misbruikt voor het overnemen van Windows computers en infiltreren van systemen. De kwetsbaarheid werd eerst voor gerichte aanvallen gebruikt, maar wordt inmiddels ook voor aanvallen tegen doorsnee internetgebruikers ingezet. Het bezoeken van een kwaadaardige of gehackte website is voldoende om aanvallers volledige controle over de computer te geven.
Volgens de Shadowserver Foundation, een organisatie die botnets in de gaten houdt, wordt het lek op "een vrij grote schaal" misbruikt. Exploits die het lek misbruiken, zijn inmiddels op tal van legitieme websites verschenen, waaronder verschillende non-gouvernementele organisaties, luchtvaartmaatschappijen, een Koreaanse nieuwssite, een Indiase overheidssite en een Taiwanese Universiteit.
Doelwit
Adobe Flash Player is op 99% van alle op het internet aangesloten computers aanwezig, waarbij het in Europa en de Verenigde Staten zelfs een penetratiegraad van 99,5% heeft. Het is dan ook niet verwonderlijk dat Flash de afgelopen regelmatig het doelwit van aanvallers is geweest. CVE-2011-0609, CVE-2011-0611, CVE-2011-0627, CVE-2011-2107 en CVE-2011-2110 zijn allemaal nummers die naar recente lekken wijzen, waardoor aanvallers toegang tot vertrouwelijke informatie hebben gekregen. Ook voor de aanval op beveiligingsbedrijf RSA werd een lek in Adobe Flash Player gebruikt. Lekken 0609 en 0611 zouden nog steeds op grote schaal voor gerichte aanvallen worden ingezet, ook al is een patch voor deze gaten al enige tijd beschikbaar.
Het nieuwste lek, 2110, is alleen nog via drive-by download-aanvallen misbruikt. "De aanvallers hebben duidelijk hun aanvalsprofiel aan de beschikbare exploit aangepast. Dit is niet nieuw, maar de explosie van de exploit op het web en van zoveel verschillende bronnen is vrij bijzonder", aldus de organisatie. Beveiligingsbedrijf Websense merkt op dat het lek ook voor spear-phishing aanvallen wordt ingezet.
Exploit
De Shadowserver Foundation benadrukt dat het om een "vervelende" exploit gaat, die stiekem in de achtergrond plaatsvindt, zonder de browser te laten crashen. "Als je een gehackte website bezoekt die dit lek misbruikt, zul je waarschijnlijk niets merken. Als je NoScript of soortgelijke plugins draait, zul je misschien een poging zien tot het laden van Flash-bestanden of een verzoek van een third party website, maar daarnaast zul je niets zien."
De exploit misbruikt een lek in de ActionScript Virtual Machine en is in staat om de data execution prevention (DEP) beveiligingsmaatregel in Windows te omzeilen. Is de exploit succesvol, dan wordt er een bestand gedownload en uitgevoerd. In het screenshot en op de pagina van de Shadowserver Foundation staat een overzicht van websites die de exploit bevatten. Adobe Flash Player updaten kan via deze pagina.
Deze posting is gelocked. Reageren is niet meer mogelijk.