image

Mac- en Windowsgebruikers doelwit nieuwste Flash-lek

donderdag 6 februari 2014, 09:37 door Redactie, 12 reacties

Een beveiligingslek in Adobe Flash Player waarvoor dinsdag een noodpatch verscheen is gebruikt om zowel Mac- als Windowsgebruikers aan te vallen. Onderzoekers van het Russische anti-virusbedrijf Kaspersky Lab ontdekten 11 verschillende exploits die van het lek misbruik maakten.

Naast verschillende Windowsversies werken de exploits ook op Mac OS X 10.6.8. De aanvallen begonnen met een phishingmail, waarbij gebruikers een .docx-bestand ontvingen waarin een kwaadaardige Flash-bestand was ingebed. Zodra gebruikers het Word-document openden werd het Flash-bestand met de exploit geladen en malware op de computer geïnstalleerd. De malware verzamelt wachtwoorden en gebruikersnamen van populaire e-mailclients, sociale media en webmaildiensten.

Kaspersky kon niet bevestigen of het om gerichte aanvallen ging, maar het is wel waarschijnlijk. Het totaal aantal slachtoffers en hun locatie is grotendeels onbekend. Wel lijkt het erop dat in ieder geval Koreaanse gebruikers het doelwit waren. Het Word-document dat Kaspersky ontdekte was in het Koreaans opgesteld en werd op drie computers aangetroffen. Een computer met Mac OS X en twee machines die op Windows 7 draaien.

Reacties (12)
06-02-2014, 11:47 door Anoniem
Rampzalig dat Adobe.

Flash is lek.
Adobe reader is lek.

Adobe die z'n neus ophaalt de nieuwste versie direct beschikbaar te maken voor alle talen.

Flash player waarvan de installatie/update vaak niet werkt en verwijst naar de homepage van Adobe zelf.

't is dat ze groot zijn door Photoshop e.d.
06-02-2014, 12:54 door Spiff has left the building
Door Anoniem, 11:47 uur:
Flash player waarvan de installatie/update vaak niet werkt en verwijst naar de homepage van Adobe zelf.
Gebruik je mogelijk Ghostery?
Dan is dat het probleem wanneer je Adobe Flash Player wilt downloaden van http://get.adobe.com/flashplayer/.
Ghostery blokkeert ook Adobe's tracker Omniture, die noodzakelijk is voor downloaden via die pagina.
Oplossing:
Ga naar de Ghostery update-pagina, laat Omniture toe ('schuifje' in Ghostery verschuiven), download de update en blokkeer Omniture daarna weer.
Bron:
http://www.gratissoftwaresite.nl/downloads/comment/11047#comment-11047
Bijdrage van Martin, 30 november 2013.

Andere optie:
Gebruik een offline-installer voor Adobe Flash Player:
De Adobe Flash Player download-link voor de offline-installer voor Internet Explorer:
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player_ax.exe
De Adobe Flash Player download-link voor de offline-installer voor Windows voor andere browsers dan IE:
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player.exe
En hier vind je daarnaast tevens download-links voor Mac OS X, Linux en Solaris:
http://www.adobe.com/products/flashplayer/distribution3.html
06-02-2014, 14:03 door Briolet
Door Spiff:Oplossing:
Ga naar de Ghostery update-pagina, laat Omniture toe ('schuifje' in Ghostery verschuiven), download de update en blokkeer Omniture daarna weer.

Dat is in elk geval een goede tip die me de vorige keer goed geholpen heeft. Als alternatief op dat schuifje, kun je ook de groene knop er rechts van gebruiken. Dan zal deze tracker in toekomst nooit meer op deze pagina geblokkeerd worden. Dat voorkomt dat je hier een volgende keer weer tegen aanloopt omdat je het vergeten bent. (Die groene knop zit in elk geval op de Ghostery versie voor Safari, maar ik ga er toch van uit dat dit voor alle versies geld)
06-02-2014, 14:32 door Spiff has left the building - Bijgewerkt: 06-02-2014, 16:51
Door Briolet:
Als alternatief op dat schuifje, kun je ook de groene knop er rechts van gebruiken. Dan zal deze tracker in toekomst nooit meer op deze pagina geblokkeerd worden. Dat voorkomt dat je hier een volgende keer weer tegen aanloopt omdat je het vergeten bent. (Die groene knop zit in elk geval op de Ghostery versie voor Safari, maar ik ga er toch van uit dat dit voor alle versies geld)
Dankjewel, mooie tip.
Ik kende die optie niet, doordat ik zelf geen ervaring heb met Ghostery en enkel andermans tip doorgaf.
Mocht ik die tip nog eens een keer moeten doorgeven, dan zal ik jouw tip daarin integreren, Briolet.
P.S.
Ik heb je tip inmiddels alvast hier geïntegreerd:
https://www.security.nl/posting/377369#posting377373
https://www.security.nl/posting/377390#posting377475
06-02-2014, 17:03 door Anoniem
Same old Flash / tracking / Macro's / 'msOffice-.X-bestanden' blues

a) Flash kan je als standalone downloaden zonder Ghostery te hoeven uitschakelen.
Test met gegeven link http://www.adobe.com/products/flashplayer/distribution3.html

Ghostery heb je niet voor niets, als er nou één tracker is die je juist niet zou moeten toestaan is het Omniture wel op deze pagina (99,9% van alle internetgebruikers handig getracked, goed voor de combi met tracking op alle andere websites op de wereld).?

Macro's in Office documenten en docx, xlsx, zip achtige bestanden?

b) Schakel Macro functionaliteit uit in Office, dat scheelt alvast.


DocX = feitelijk een soort Zip bestand, leuk om malware in te verstoppen!

?c) De inhoud van een docx kun je vooraf simpel handmatig bekijken, test het maar eens (Mac OS X voorbeeldje).

?* voorbeeld file, laten we het 'OpenMe.docx' noemen.
* dupliceer 'OpenMe.docx' ('cmd toets en letter d commando').
?* dat levert op 'OpenMe copy.docx'.
?* verander .docx eens in .zip.
?* selecteer het file en vraag info op (('cmd toets en letter i commando').
?* verander het programma om het te openen, dat staat waarschijnlijk nog op office, kies bijvoorbeeld Apples 'Archive Utility' programma uit de lijst eronder.
?* open nu de zip door te dubbelklikken en het bestand wordt uitgepakt.
?* nieuw mapje verschijnt met de naam 'OpenMe copy'.
?* scan het mapje desnoods nog eens met de virusscanner.
?* open het mapje en bekijk de bestanden, als daar png, tiff afbeeldingen of flash objecten in zitten denk ik dat je die daar moet kunnen zien onder de submap 'Media'.

Hey een .swf bestand, quicktime, .exe ?, verzin maar een exotische multimedia of executable extensie ?
Bel bel tringg tringg, wat ga je doen bij dit kleine alarmpje, jij mag het zeggen, waarvoor ging je ook alweer handmatig spieken??
De 'overige' inhoud zal voornamelijk bestaan uit diverse xml bestanden, onder de map 'docprops' een preview jpeg thumbnail van de hele pagina.

Het zou kunnen, ik weet het niet, dat in de 'word' map met submap '_rels' in het xml.rels document verwijzingen naar externe malware link zouden kunnen worden verstopt. Open het bestand gewoon eens in een simple texteditor (niet dubbelklikken) als TextEdit en lees het diagonaal door, kwestie van bijna één oogopslag.?De enige weblink die ik daar in varianten zie staan is normaliter 'http://schemas.openxmlformats.org/' (en diverse /../../volglinks)


d) Nu weet je wat je aan kan treffen in dat geheimzinnige X-bestand 'OpenMe.docx'.
Gooi de uitpak files weg, de 'OpenMe copy' bestanden en open het origineel met Word.

Geen gegarandeerde veiligheid, je hebt tenminste nu zelf handmatig vooraf de inhoud van een docx file bekeken en hebt daarmee de gelegenheid gehad meer de inhoud te kunnen beoordelen.


e) Swf files kun je eenvoudig op pagina's blokkeren door een extra eigen AdBlokPlus regeltje aan te maken.
swf's betreft meestal toch reclame, al dan niet jou voorgeschoteld via een iframe en het openx ad-netwerk.
iframes ondervang je vast al met NoScript of iets dergelijks.

Custom AdBlockPlus filters om eens uit te proberen
||*.swf^

Jouw begroeting voor special agent 2o(mniture)7
||*.2o7^
||*.2O7^
||*.2o7.net^
||*.2O7.net^

Oh oh do not openX (kies maar, of allemaal)
||*.openx^
||*.openx.^
||*.openX^
||*.openX.^
||*.Openx^
||*.Openx.^
||*.OpenX^
06-02-2014, 20:00 door depend
Misschien een rare vraag, maar hoe ontdek je zo'n exploit eigenlijk?
07-02-2014, 00:21 door Spiff has left the building - Bijgewerkt: 07-02-2014, 00:26
Door Anoniem, do.6-2, 17:03 uur:
Flash kun je als standalone downloaden zonder Ghostery te hoeven uitschakelen.
Uiteraard werd dat eerder in deze thread ook al vermeld, zie
https://www.security.nl/posting/377509#posting377555
onder "Andere optie: Gebruik een offline-installer voor Adobe Flash Player".

De Ghostery-uitleg is voor wie ondanks die optie een offline installer te gebruiken toch per se se via http://get.adobe.com/flashplayer/ wil downloaden.
07-02-2014, 08:48 door Briolet
Ghostery heb je niet voor niets, als er nou één tracker is die je juist niet zou moeten toestaan is het Omniture wel op deze pagina (99,9% van alle internetgebruikers handig getracked, goed voor de combi met tracking op alle andere websites op de wereld).?
Volgens mij zie ik hier iets uit het hoofd. Mij lijkt dat juist deze pagina niets uitmaakt, juist omdat 99,9% flash gebruikt. Ze kunnen hier geen enkele persoonlijke voorkeur uit halen.
07-02-2014, 12:55 door Anoniem
Door Briolet:
Ghostery heb je niet voor niets, als er nou één tracker is die je juist niet zou moeten toestaan is het Omniture wel op deze pagina (99,9% van alle internetgebruikers handig getracked, goed voor de combi met tracking op alle andere websites op de wereld).?
Volgens mij zie ik hier iets uit het hoofd. Mij lijkt dat juist deze pagina niets uitmaakt, juist omdat 99,9% flash gebruikt. Ze kunnen hier geen enkele persoonlijke voorkeur uit halen.

Doe jezelf eens een 'plezier', uit nieuwsgierigheid bijvoorbeeld, en bezoek een site als www.browserspy.dk
Dan kreeg je een gedetailleerd idee van wat je browser aan informatie geeft bij bezoek aan een webpagina die scripts heeft draaien met analyse vraagjes voor jouw browser.

Doe daarna eens een test met het bezoeken van deze site, een bezoek met zoveel als mogelijk aan instellingen open (anti-anti-privacy, bijv. actief alle soorten javascripts e.d.) en geactiveerd.
Bezoek na het afsluiten van je browser, het legen van je historie, cache en een optimale privacy config van je browser de site opnieuw. In ieder geval even met javascript toestaan uitgeschakeld.

Vergelijk de resultaten eens.
Je zult zien dat daar een enorm verschil in zit.
Nog mooier is een dergelijke test uit te voeren met bijvoorbeeld Firefox en een aantal addons, in ieder geval NoScript.
Dat levert wederom een indrukwekkend interessant verschil op. Een test die jij denk ik niet uitvoert omdat je alleen met Safari browst (?).

Punt is dat je bij bezoek aan een site ongewild en ongemerkt allerlei informatie over jouw systeem prijsgeeft, afhankelijk van hoeveel analyse scripts er op die site draaien.
Wanneer je de eigenaar van betreffende site al maximaal van informatie voorziet en dat toevallig ook een bedrijf is dat handelt in analyse informatie, dan heb je die eigenaar van een hele bruikbare basis info database voorzien die zij vervolgens verder kan gebruiken. Ergo, het uitgebreide basis profiel heb je zelf aangeleverd wat verder kan worden afgezet en vergeleken met data die van andere sites is verkregen.

Wat er precies specifiek extra verzameld wordt door de omniture script code kan ik je niet vertellen. Dat zal nog weer per site en per toegepaste module verschillen. Safari, view, view source, mozilla gebruikers cmd U geeft pagina code, veel plezier met de paginacode analyse.

Je hebt de flashplugin geïnstalleerd op je Mac. Je wil graag dat deze up to date blijft en hebt de meest 'service verlenende' optie ingeschakeld in je systeemvoorkeuren paneel "Allow Adobe to install updates (recommended)".
Hoe vaak legt jouw systeem per dag verbinding met Adobe? Welke (systeem) informatie gaat er door dat kabeltje?
Wanneer je zelf baas over je eigen systeem wil blijven kan je ervoor kiezen zelf de beschikbare updates in de gaten te houden en wanneer van toepassing te kiezen voor het handmatig downloaden en installeren van een standalone installer.

Interessante afweging; in hoeverre is het een slim idee, updates van niet Apple software (in dit geval als voorbeeld) allemaal maar automatisch te laten plaatsvinden.
Of, privacy horror scenario, een aparte programma service van bedrijf 'y' continue de versies van alle programma's op je computer te laten monitoren? Zie het vaak voor pc als optie genoemd hier, wel eens stilgestaan bij het feit wat dat bedrijf verder met deze informatie doet?
Tipje; geld verdienen!

"Ze kunnen hier geen enkele persoonlijke voorkeur uit halen."
Je systeem configuratie is een grote verzameling persoonlijke voorkeuren, daarmee zeer waarschijnlijk uniek.
Die technische systeeminfo (die onder meer je browser op aanvraag in ruime mate rondstrooit!) in combinatie met je browse gedrag is daarmee de blueprint van jou als persoon op het internet.
Anonimiseringsfabeltje; het achteraf combineren van stukjes geanonimiseerde informatie levert met gemak uiteindelijk ook weer een persoonlijk herleidbaar profiel op.

Dat hou je misschien niet helemaal meer tegen, sommigen gebruiken dat ook als argument (al dan niet als stiekem excuus voor luiheid of desinteresse). De vraag kan zijn in hoeverre je bereid bent daar altijd en geheel vrijwillig vol (onwetende?) overgave aan mee te werken.
Die afweging is voor iedereen anders, het minste wat hierbij nog helpt is gebruikers informeren opdat zij beter een eigen afweging kunnen maken.

Vandaar dat het mij wat als een tegenstelling overkomt om een privacy maatregel die je hebt genomen weer uit te schakelen.
Enige consequentie is wel vereist, anders ondergraaf je het effect van de werking van een dergelijke addon.


(p.s., de vraagtekens die voor de sterretjes * staan in een eerdere reactie zijn gevolg van iets dat ik niet kan overzien, was niet zichtbaar in de 'Preview' van de reactiepagina, raadselachtig, definitieve plaatsing duurde meer dan 5 uur, geen idee welke route de tekst nog heeft afgelegd en of daar nog extra opmaak code is ingeslopen).
07-02-2014, 14:19 door Spiff has left the building
Door Anoniem, 12:55 uur:
(p.s., de vraagtekens die voor de sterretjes * staan in een eerdere reactie zijn gevolg van iets dat ik niet kan overzien, was niet zichtbaar in de 'Preview' van de reactiepagina, raadselachtig, definitieve plaatsing duurde meer dan 5 uur, geen idee welke route de tekst nog heeft afgelegd en of daar nog extra opmaak code is ingeslopen).
Plaatsing van een niet-ingelogd geposte reactie gebeurt pas na beoordeling door een moderator. Dat kan na een minuut zijn, maar dat kan ook vele uren duren (of omstreeks het weekend een enkele keer zelfs dagen), afhankelijk van de beschikbaarheid van een moderator.
En vraagtekens in een geposte reactie kunnen verschijnen op plaatsen waar niet met het reactiesysteem compatible tekens zijn geplaatst. Dit kan gebeuren wanneer je een tekst niet opmaakt in platte tekst maar in een of andere tekstverwerker die wat anders dan platte tekst toepast en je de tekst dan vervolgens in het reactieformulier plakt.
07-02-2014, 15:11 door Anoniem
Door Spiff:
Door Anoniem, 12:55 uur:
..
En vraagtekens in een geposte reactie kunnen verschijnen op plaatsen waar niet met het reactiesysteem compatible tekens zijn geplaatst. Dit kan gebeuren wanneer je een tekst niet opmaakt in platte tekst maar in een of andere tekstverwerker die wat anders dan platte tekst toepast en je de tekst dan vervolgens in het reactieformulier plakt.

Dank, ik weet het, vooral de verstopte opmaakcodes uit Word zijn berucht. Verander maar eens content voor iemand op een webpagina op basis van teksten aangeleverd in msoffice. Gruwel.

Deze tekst was opgemaakt in plain text (.txt , niet in ms office, just a plain text editor, business as usual) en begon al te stuiteren na het pasten, paragraafopmaak, witregels en enters verdwenen onwillekeurig en meer van die onbegrijpelijke opmaak wirwar.

Afsluiten browser hielp niet alsook de tekst weer opnieuw in een nieuw plain tekst document opmaken (bleek).
Geen verborgen opmaak code kunnen ontdekken in het document, sterretjes kan deze pagina over het algemeen aan (sterretje * , streepje - . underscore _ , plus + , vraagteken ? als het goed is geen probleem)

Daar de preview er goed uitzag leek het opgelost (de preview functie geeft een indicatie maar is dus geen garantie voor je opmaak).
07-02-2014, 16:20 door Spiff has left the building
@ Anoniem 15:11,
Dank je voor je toelichting.
Merkwaardig dat de opmaak dan toch die vraagtekens meekreeg.
Het is uiteraard niks rampzaligs, maar toch lijkt het me een klusje voor sitebeheer om er eens naar te kijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.