image

Grootschalig misbruik van Flash Player-lek

zaterdag 18 juni 2011, 14:43 door Redactie, 18 reacties

Een dinsdag gepatcht beveiligingslek in Adobe Flash Player wordt op grote schaal door aanvallers misbruikt voor het overnemen van Windows computers en infiltreren van systemen. De kwetsbaarheid werd eerst voor gerichte aanvallen gebruikt, maar wordt inmiddels ook voor aanvallen tegen doorsnee internetgebruikers ingezet. Het bezoeken van een kwaadaardige of gehackte website is voldoende om aanvallers volledige controle over de computer te geven.

Volgens de Shadowserver Foundation, een organisatie die botnets in de gaten houdt, wordt het lek op "een vrij grote schaal" misbruikt. Exploits die het lek misbruiken, zijn inmiddels op tal van legitieme websites verschenen, waaronder verschillende non-gouvernementele organisaties, luchtvaartmaatschappijen, een Koreaanse nieuwssite, een Indiase overheidssite en een Taiwanese Universiteit.

Doelwit
Adobe Flash Player is op 99% van alle op het internet aangesloten computers aanwezig, waarbij het in Europa en de Verenigde Staten zelfs een penetratiegraad van 99,5% heeft. Het is dan ook niet verwonderlijk dat Flash de afgelopen regelmatig het doelwit van aanvallers is geweest. CVE-2011-0609, CVE-2011-0611, CVE-2011-0627, CVE-2011-2107 en CVE-2011-2110 zijn allemaal nummers die naar recente lekken wijzen, waardoor aanvallers toegang tot vertrouwelijke informatie hebben gekregen. Ook voor de aanval op beveiligingsbedrijf RSA werd een lek in Adobe Flash Player gebruikt. Lekken 0609 en 0611 zouden nog steeds op grote schaal voor gerichte aanvallen worden ingezet, ook al is een patch voor deze gaten al enige tijd beschikbaar.

Het nieuwste lek, 2110, is alleen nog via drive-by download-aanvallen misbruikt. "De aanvallers hebben duidelijk hun aanvalsprofiel aan de beschikbare exploit aangepast. Dit is niet nieuw, maar de explosie van de exploit op het web en van zoveel verschillende bronnen is vrij bijzonder", aldus de organisatie. Beveiligingsbedrijf Websense merkt op dat het lek ook voor spear-phishing aanvallen wordt ingezet.

Exploit
De Shadowserver Foundation benadrukt dat het om een "vervelende" exploit gaat, die stiekem in de achtergrond plaatsvindt, zonder de browser te laten crashen. "Als je een gehackte website bezoekt die dit lek misbruikt, zul je waarschijnlijk niets merken. Als je NoScript of soortgelijke plugins draait, zul je misschien een poging zien tot het laden van Flash-bestanden of een verzoek van een third party website, maar daarnaast zul je niets zien."

De exploit misbruikt een lek in de ActionScript Virtual Machine en is in staat om de data execution prevention (DEP) beveiligingsmaatregel in Windows te omzeilen. Is de exploit succesvol, dan wordt er een bestand gedownload en uitgevoerd. In het screenshot en op de pagina van de Shadowserver Foundation staat een overzicht van websites die de exploit bevatten. Adobe Flash Player updaten kan via deze pagina.

Reacties (18)
18-06-2011, 21:22 door Anoniem
Door Redactie: Een dinsdag gepatcht beveiligingslek in Adobe Flash Player wordt op grote schaal door aanvallers misbruikt voor het overnemen van Windows computers en infiltreren van systemen.
Zit deze betreffende lek nog steeds in de nieuwe versie:10.3.181.26 nadat het dinsdag gepatcht zou zijn, óf zitten alle in het artikel genoemde lekken alleen in eerdere versies???
18-06-2011, 22:11 door Anoniem
Is er nu echt geen enkel alternatief voor dat Adobe Flash Player want dat blijft zo lek als een zeef.
19-06-2011, 00:24 door Anoniem
Tip: check eens of je echt de laatste versie draait op http://www.adobe.com/software/flash/about/ .
Mij viel op dat ik nog best achter bleek te lopen (terwijl alle auto-updates aanstaan).

Erg handige versienummering houden ze er niet op na trouwens.
19-06-2011, 01:43 door Anoniem
wat te flux
heb net Adobe Flash Player er uit gegooit
en nu zie ik hier op security.nl update staan, is dit al de laatste nieuwe versie ?? van Adobe Flash Player
19-06-2011, 01:52 door Anoniem
Was er hier niet net een poll geweest over het gebruik van de administrator waaruit bleek dat meer dan 40% dit doet omdat het zo makkelijk/nodig is. Weet je nu gelijk weer waarom je het niet moet doen. Je pc zal wel besmet worden door dit lek (als je ook nog eens niet op tijd update) maar dan niet verder dan het user-account.
19-06-2011, 07:42 door spatieman
zijn we dat niet anders gewent ondertussen van die flash meuk..
19-06-2011, 21:55 door suder
Bedankt voor de waarschuwing Security.nl ik heb Adobe Flash Player direct geupdated , Ik dacht dat dat automatisch ging maar dus niet , niet bij mij in ieder geval . Adobe Flash Player staat niet in het rijtje van opstartprogrammas , wel Adobe Reader maar die staat uitgeschakeld . Als ik Adobe Reader quick launch wel inschakel wordt Adobe Flash Player dan ook automatisch geupdate ?
19-06-2011, 22:01 door henkhooft
Ik krijg zowat elke dag wel een mail van Zero Day Initiative dat er weer een paar nieuwe flashvulns vrijgegeven worden.
19-06-2011, 22:24 door suder
Door henkhooft: Ik krijg zowat elke dag wel een mail van Zero Day Initiative dat er weer een paar nieuwe flashvulns vrijgegeven worden.

m.a.w . Flash Player is zeer onveilig ? Maar er is geen alternative programma , we hebben Flash Player toch nodig .
Of bedoelde je dat niet ?
19-06-2011, 23:37 door Bitwiper
Als je MSIE8 of later gebruikt kun je de risico's enorm beperken door Flash slechts op vertrouwde sites toe te staan, in elk geval zolang het bij de meeste gecompomitteerde websites zo is dat er een (meestal obfuscated) javascript geinjecteerd is die de exploits (Flash, PDF, Java, Quicktime, ...) vanaf een andere site ophaalt.

Als ik me niet vergis was het Ilja. _\\// die in de eerste reactie onder http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html de gebruikers van security.nl wees op deze mogelijkheid (MSIE8).

Meer info voor MSIE8 vind je op deze site (Engelstalig, overzichtelijk met plaatjes): http://www.winhelponline.com/blog/disable-flash-all-but-whitelist-sites-ie8/. Op die pagina wordt ook de gerelateerde registry info getoond. LET OP: het gaat hier om per-user settings! Microsoft info: http://blogs.msdn.com/b/ieinternals/archive/2011/04/02/activex-control-restrictions-in-ie.aspx.

In MSIE9 is deze technologie wat veranderd, zie http://www.winhelponline.com/blog/using-activex-filtering-in-ie9/ en http://blogs.msdn.com/b/ie/archive/2011/02/28/activex-filtering-for-consumers.aspx.

Snel testen of Flash werkt kan hier: http://www.youtube.com/swf_test.html. Bovendien wordt de versie van de geinstalleerde plugin getoond (dat kan ook hier: http://www.adobe.com/software/flash/about/).

Zelf gebruik ik overigens bij voorkeur Firefox met de NoScript en Flashblock plugins om hetzelfde te bereiken. Belangrijk is dan wel dat je in de NoScript Options standaard Flash blokkeert. Als je een website bezoekt en deze voldoende vertrouwt, sta je scripting toe voor die website, Flash objecten veranderen dan in een "afspelen" driehoekje. Je kunt dan kiezen welk flash object je afspeelt. Eventuele (kwaadwillende) Flash objecten van andere sites worden dan geblokkeerd door NoScript.
19-06-2011, 23:39 door Patio
Waarom zou je een programma of plug-in installeren dat zo lek is als een mandje?

Is alleen nodig voor sites die niet zonder denken te kunnen bij het ontwerp en dat terwijl de volgende alternatieven voot bewegende beelden voorradig zijn:

* geanimeerde .gif
* JavaScript (ook andere scripttalen als php en een programmeertaaal als Perl volstaan, maar dat is te technisch)
* 'k weet niet hoeveel video-formaten

Kortom: Je hoeft niet naar een alternatief te zoekenL Negeer alle webstekjes die Flash eisen, dan leren ze het wel af.
20-06-2011, 03:51 door DarkViewOfTheWorld
Door Patio: Waarom zou je een programma of plug-in installeren dat zo lek is als een mandje?
...
Kortom: Je hoeft niet naar een alternatief te zoekenL Negeer alle webstekjes die Flash eisen, dan leren ze het wel af.

Er is een reden dat 99% van de sites met veel video's flash gebruiken ... en dat is om het hotlinken of zeer eenvoudig downloaden van het filmpje tegen te gaan ... en ja .. je hebt ondertussen ook 10tallen websites en programma's / plugins die je toelaten van het filmpje zo te downloaden .. maar daar weten veel gebruikers weinig tot niets van af ...

Elke technologie om het kopieren van dingen tegen te gaan zal gebroken worden ..
het is hier gewoon weer een kwestie van de drempel net iets hoger te leggen dan de 'average-joe' kent/wil gebruiken.

Als jij je al die schitterende youtube filmpjes wilt ontzeggen .. go ahead .. most of us just enjoy it en minimaliseren de risico's .. haal je computer dan meteen ook volledig het internet af, because if you're connected .. you're vulnerable.
20-06-2011, 06:49 door Anoniem
Door Patio: Waarom zou je een programma of plug-in installeren dat zo lek is als een mandje?

Is alleen nodig voor sites die niet zonder denken te kunnen bij het ontwerp en dat terwijl de volgende alternatieven voot bewegende beelden voorradig zijn:

* geanimeerde .gif
* JavaScript (ook andere scripttalen als php en een programmeertaaal als Perl volstaan, maar dat is te technisch)
* 'k weet niet hoeveel video-formaten

Kortom: Je hoeft niet naar een alternatief te zoekenL Negeer alle webstekjes die Flash eisen, dan leren ze het wel af.

Java volgt flash op de voet als het om lekken gaat, lijkt me geen goed alternatief.

Beste is java en flash van je pc verwijderen, maar ja, dan kan je vaak zelfs niet meer internetbankieren.

Firefox met no script add-on lijkt mij de enige oplossing om enigszins veilig te kunnen surfen.

(beter zou zijn om het oranje/groenje lampje te vervangen door een groot rood zwaailicht met een grote rode knop ernaast met: STOP all network activity! I rest my case...)
20-06-2011, 08:37 door Anoniem
Gewoon flash block plugin in ff installeren, en dan druk je alleen op het play icoontje wanneer je iets nodig hebt.
20-06-2011, 12:14 door Spiff has left the building
@ Anoniem, vandaag, 20-6, 6:49 uur:
Je verwart JavaScript met Java.
20-06-2011, 12:33 door Spiff has left the building
Door Anoniem, Zaterdag 18-6, 21:22 uur:
Door Redactie: Een dinsdag gepatcht beveiligingslek in Adobe Flash Player wordt op grote schaal door aanvallers misbruikt voor het overnemen van Windows computers en infiltreren van systemen.
Zit deze betreffende lek nog steeds in de nieuwe versie:10.3.181.26 nadat het dinsdag gepatcht zou zijn, óf zitten alle in het artikel genoemde lekken alleen in eerdere versies???
De formulering van de Redactie betekent uiteraard dat het lek misbruikt wordt op systemen waarop de betreffende update nog niet is uitgevoerd. Niet wanneer wel is gepatched.

Ellendig is dat Adobe Flash Player hoogstens eens per week automatisch checkt op updates. Heeft de geïnstalleerde versie net gecheckt op updates vlak voordat de nieuwe versie uitkwam, dan kan het een week duren voor er opnieuw automatisch op updates wordt gecheckt.
In het geval dat is ingesteld dat maar eens per 14 dagen, 30 dagen, of eens per 60 dagen op updates wordt gecontroleerd, of dat zelfs is ingesteld dat helemaal niet moet worden gewaarschuwd wanneer er updates beschikbaar zijn, dan is de situatie uiteraard nog veel beroerder voor de onwetende gebruiker. De kans dat je dan een keer het haasje bent wordt zo steeds groter.
http://www.macromedia.com/support/documentation/nl/flashplayer/help/settings_manager05.html
20-06-2011, 17:35 door 0101
Door DarkViewOfTheWorld:
Als jij je al die schitterende youtube filmpjes wilt ontzeggen .. go ahead .. most of us just enjoy it en minimaliseren de risico's .. haal je computer dan meteen ook volledig het internet af, because if you're connected .. you're vulnerable.
YouTube is overigens ook in HTML5 beschikbaar, zie https://youtube.com/html5
22-06-2011, 16:02 door Ilja. _V V
Door Bitwiper: Als je MSIE8 of later gebruikt kun je de risico's enorm beperken door Flash slechts op vertrouwde sites toe te staan, in elk geval zolang het bij de meeste gecompomitteerde websites zo is dat er een (meestal obfuscated) javascript geinjecteerd is die de exploits (Flash, PDF, Java, Quicktime, ...) vanaf een andere site ophaalt.

Als ik me niet vergis was het Ilja. _\\// die in de eerste reactie onder http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html de gebruikers van security.nl wees op deze mogelijkheid (MSIE8).
Dat was meer een onderling studieproject naar hoe je verouderde onveilige restanten van FlashPlayer-installaties in zijn geheel kon verwijderen & waarom dat soms toch niet lukt.

Als er weer eens een vraag op het forum verschijnt waarbij ik denk "daar is al een eerder onderwerp over geschreven", of ik wil een van mijn ondertussen vele eigen schrijfsels terug vinden, dan laat ik Google met een paar steekwoorden los op security.nl, & meestal komt dan meteen de goede bovendrijven (Sorry Redactie/Webmaster!).

Volgens mij, voor zover ik daar aan heb bij gedragen, bedoelde je deze:
http://www.security.nl/artikel/34131/1/Belangrijke_update_Adobe_Flash_Player.html
Daarin staat ook de link naar Instellingenbeheer, waarmee je de FlashPlayer goed uit zet. OK, per gebruiker, maar je kan daarna de settings.sol gewoon kopieren naar alle andere gebruikers.

Het idee overigens om FlashPlayer alleen toe te staan in de Vertrouwde websites, bevalt me wel, maar om echt functioneel te zijn, moet je daarvoor de ActiveX in de Internet zone, net zoals de Websites met beperkte toegang, op Vragen of Blokkeren instellen.
Echter ramt het er dan in de Intranet & Vertrouwde zone toch dwars doorheen.

Is Instellingenbeheer toch beter, die doet ze allemaal. Ik heb trouwens ondertussen al een paar keer het Instellingen beheer via het Configuratiescherm bekeken, & ben tot de conclusie gekomen dat de On-Line versie toch exacter stuurt.

Ik gebruik trouwens als test http://www.nakamichi.com/nakamichi.swf want als die animatie het doet, is je FlashPlayer, ook al staat alles uit & op nul, goed ingesteld.

Die testlink is trouwens een tip voor de web-beheerders/designers die al die Flashcontent moeten implementeren: De filosofie van Nakamichi om perfectie na te streven bewijst dat Flashcontent ook centraal beheerd serverside prima werkt.
Voor de bandbreedte c.q. transmissie maakt het feitelijk niet uit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.