image

Adobe patcht actief aangevallen lek in Flash Player

dinsdag 29 april 2014, 09:45 door Redactie, 11 reacties

Adobe heeft een noodpatch voor Adobe Flash Player uitgebracht wegens een lek dat actief door aanvallers wordt gebruikt om computers met malware te infecteren. Twee exploits die misbruik van de kwetsbaarheid maken werden op een website van de Syrische overheid aangetroffen.

De website was in 2011 door het Syrische Ministerie van Justitie gelanceerd en bedoeld als een online forum voor burgers om over rechtsschendingen te klagen. Onderzoekers van Kaspersky Lab die de exploits ontdekten denken dat de aanvallen op Syrische dissidenten gericht waren die de klachten over de overheid hadden. Het is echter onduidelijk of de Syrische overheid ook achter de aanvallen zit of dat ze door een andere partij zijn uitgevoerd. In september vorig jaar werd de website in kwestie al een keer gehackt.

Uit gegevens zou blijken dat de exploits al zeker sinds 9 april van dit jaar zijn ingezet. Eén van de exploits werkt alleen tegen specifieke versies van Flash Player en vereist de aanwezigheid van Cisco MeetingPlace Express Add-In version 5x0. In totaal ontdekte Kaspersky Lab zeven gebruikers die via het lek met malware besmet waren. Al deze gebruikers bevonden zich in Syrië en gebruikten Mozilla Firefox.

"Het is waarschijnlijk dat de aanval zorgvuldig is gepland en dat professionals van een vrij hoog niveau erachter zitten. Het gebruik van de professioneel geschreven zero-day exploits die werden gebruikt om een enkele bron te infecteren bevestigen dit", zegt analist Vyacheslav Zakorzhevsky.

Oplossing

Adobe adviseert Windows- en Mac-gebruikers om naar Adobe Flash Player 13.0.0.206 te upgraden. Dit kan via de automatische updatetool of de website van Adobe. In het geval van Google Chrome en Internet Explorer 10 en 11 op Windows 8 en Windows 8.1 wordt de update automatisch geïnstalleerd omdat Flash Player bij deze browsers is ingebed. Via deze website kunnen internetgebruikers controleren welke Flash Player-versie ze geïnstalleerd hebben.

Reacties (11)
29-04-2014, 09:54 door Anoniem
Ik wil toch iets weten en wellicht weten jullie dit? Als je nu GEEN administrator bent op de pc hoe erg is dit lek dan? Ik neem namelijk aan dat je een UAC venstertje krijgt als de malware wilt installeren?
29-04-2014, 10:43 door Mysterio
Al deze gebruikers bevonden zich in Syrië en gebruikten Mozilla Firefox.
Wat zou de link met Firefox in dit geval kunnen zijn? Het is wel frappant dat Firefox wordt genoemd aangezien het niet de meest gebruikte browser is en je dus zou verwachten dat op z'n minst een paar andere browsers ook zijn geraakt.
29-04-2014, 10:45 door Mysterio
Door Anoniem: Ik wil toch iets weten en wellicht weten jullie dit? Als je nu GEEN administrator bent op de pc hoe erg is dit lek dan? Ik neem namelijk aan dat je een UAC venstertje krijgt als de malware wilt installeren?
Stel dat je een UAC scherm krijgt dat kun je zelfs als administrator de infectie stoppen. De vraag is echter of er inderdaad een UAC scherm komt want het kan zijn dat alleen de user omgeving wordt geïnfecteerd waardoor er geen systeemrechten nodig zijn. Vergelijkbaar met de installatie en update van bijvoorbeeld Google Chrome.
29-04-2014, 12:08 door SurfRight
Door Anoniem: Ik wil toch iets weten en wellicht weten jullie dit? Als je nu GEEN administrator bent op de pc hoe erg is dit lek dan? Ik neem namelijk aan dat je een UAC venstertje krijgt als de malware wilt installeren?
Je krijgt GEEN UAC venster. Als je als gebruiker surft, dus niet als administrator, loop je net zoveel gevaar. Banking trojans stelen net zo hard je data en hebben geen admin-rechten nodig om schadelijk te zijn en te overleven op je computer. In de praktijk helpt het wel als je zonder admin-rechten surft maar niet heel veel.
29-04-2014, 12:53 door Briolet
Door Mysterio:Wat zou de link met Firefox in dit geval kunnen zijn?

dat vroeg ik me ook af. Maar het gaat hier welgeteld om slechts 7 besmettingen en vereist de aanwezigheid van Cisco MeetingPlace Express Add-In. (moet dat geen Add-On zijn?)
- Kan het zijn dat die Add-In er alleen voor Firefox is?
- Of het is een zeer specifieke doelgroep geweest die om een andere reden denkt dat dit een betere browser is.

Met slechts 7 bevestigde besmettingen kun je er geen statistiek op loslaten.
29-04-2014, 13:18 door Fwiffo
@Briolet/Mysterio: Tor wordt vaak in combinatie met Firefox gebruikt. Kaspersky heeft een hekel aan Tor, dus zal niet toegeven dat dat in Syrië gebruikt wordt. Los van dat Kaspersky Russisch is en waarschijnlijk aan de kant van de regering (Assad) in Syrië staat.

Niet dat ik mij erg druk maak om dit lek. Geen Syrische overheids sites bezoeken en je loopt de komende dagen nog niet zo veel gevaar :-) Dat is dus tot de nieuwe patches gereverse engineerd zijn door cybercriminelen.
29-04-2014, 13:28 door Anoniem
"Het is waarschijnlijk dat de aanval zorgvuldig is gepland en dat professionals van een vrij hoog niveau erachter zitten. Het gebruik van de professioneel geschreven zero-day exploits die werden gebruikt om een enkele bron te infecteren bevestigen dit", zegt analist Vyacheslav Zakorzhevsky."

Klinkt erg als 'verdwaalde' 'staatshulp hackingsoftware' van "the hacking team"
('gewoon ingekocht', besteld door belanghebbenden?)

http://surveillance.rsf.org/en/hacking-team/
The Enemies of Internet
Special Edition : Surveillance
"Hacking Team describes its lawful interception products as "offensive technology" and has been called into question over deliveries to Morocco and the United Arab Emirates. The company’s "

Firefox biedt oplossingen van 'vrij laag niveau' (begrijpelijk voor 'iedereen')
- Tools > addons > Plugins
Kies voor ; "Ask to activate"

- Tools > addons > Extensions
Installeer een Adblocker, de meeste swf malware betreft aangeboden (fake)advertenties in een iframe met één of ander actief script erin verborgen. Wat je niet laadt aan content kan je niet schaden.

- Tools > addons > Extensions
Iets minder 'vriendelijk' in het gebruik en de configuratie is No-script (ingewikkelde soms onbegrijpelijke opties)

Onder "NoScript Options" > Embeddings kan je een aantal zaken standaard blokkeren die dit soort aanvallen bemoeilijken.
- Forbid Iframes om mee te beginnen
- Forbid Java
- Forbid other plugins
en vele andere keuzemogelijkheden.

Belangrijk is het om de keuze "Ask for confirmation before temporarely unblocking an object" in te schakelen.


Waarom Firefox?
Firefox heeft zeker de naam dat deze browser zelf handmatig veiliger te configureren is. In landen waar dat extra belangrijk is zal een keuze voor deze browser voor de hand liggen. Wanneer je die keuze hebt gemaakt zou je ook verwachten dat je vervolgens deze browser ook voldoende veilig configureert.

Dat is niet waterdicht, want hier is de WateringHole tactiek toegepast; infectie op een plek die mensen juist vertrouwden, waardoor een aantal mensen voldoende vertrouwen hadden om swf content toe te staan en te activeren (en te bekijken).

Wat uiteindelijk mogelijk dan nog had kunnen helpen (tegen infectie) was een handmatige firewall instelling, handmatig beoordelen van elke verbinding die wordt gevraagd en geactiveerd vanaf het moment dat de swf content werd bekeken. Wanneer connectie met een compleet ander domein gevraagd wordt had er een belletje kunnen gaan rinkelen, maar ook die aanpak is niet standaard en biedt geen garantie tegen infectie.
(In ieder geval dan toch in ieder geval standaard en zoveel als werkbaar mogelijk poorten buiten 80 en 443 op slot (afhankelijk van het Os en de applicaties die je gebruikt).
En werken onder een standaard account, mèt wachtwoorden natuurlijk!).


Gezien de specifieke aanval op mogelijk politiek ongewenste personen is het erg onaannemelijk dat betreffende aanvallen breed ingezet gaan worden (dure code hou je als maker voor jezelf).
Aan de andere kant is de code deels openbaar en kan als tactiek in variatie gekopieerd worden. Vandaar het brede patch advies waarschijnlijk.


Tja, en de Google Flash plugin? Dat is een apart verhaal;
https://www.security.nl/posting/384173#posting386065
29-04-2014, 14:18 door Mysterio
Door Fwiffo: @Briolet/Mysterio: Tor wordt vaak in combinatie met Firefox gebruikt. Kaspersky heeft een hekel aan Tor, dus zal niet toegeven dat dat in Syrië gebruikt wordt. Los van dat Kaspersky Russisch is en waarschijnlijk aan de kant van de regering (Assad) in Syrië staat.

Niet dat ik mij erg druk maak om dit lek. Geen Syrische overheids sites bezoeken en je loopt de komende dagen nog niet zo veel gevaar :-) Dat is dus tot de nieuwe patches gereverse engineerd zijn door cybercriminelen.
Wanneer je flash gebruikt onder Tor weet je ook niet goed waar je mee bezig bent. Wat betreft de stellingname in Syrië vind ik dat landen veel te snel partij kiezen in een conflict waar ze niets mee te maken hebben. In Syrië schiet de overheid op burgers en schieten de rebellen op burgers. Wat mij betreft mogen ze beiden omvallen.
29-04-2014, 14:24 door Anoniem
Door SurfRight:
Door Anoniem: Ik wil toch iets weten en wellicht weten jullie dit? Als je nu GEEN administrator bent op de pc hoe erg is dit lek dan? Ik neem namelijk aan dat je een UAC venstertje krijgt als de malware wilt installeren?
Je krijgt GEEN UAC venster. Als je als gebruiker surft, dus niet als administrator, loop je net zoveel gevaar. Banking trojans stelen net zo hard je data en hebben geen admin-rechten nodig om schadelijk te zijn en te overleven op je computer. In de praktijk helpt het wel als je zonder admin-rechten surft maar niet heel veel.
Daarom moet je ook een software restriction policy (ook wel applocker policy genoemd) maken die het uitvoeren van
programma's vanaf door de gebruiker schrijfbare locaties (%USERPROFILE%) verbiedt.
Dan kan een user wel software installeren maar die kan die dan niet uitvoeren.
29-04-2014, 14:33 door Anoniem
Door Mysterio:
Al deze gebruikers bevonden zich in Syrië en gebruikten Mozilla Firefox.
Wat zou de link met Firefox in dit geval kunnen zijn? Het is wel frappant dat Firefox wordt genoemd aangezien het niet de meest gebruikte browser is en je dus zou verwachten dat op z'n minst een paar andere browsers ook zijn geraakt.

Volgens de naast jouw reactie geplaatste poll is Firefox wel degelijk een veelgebruikte, al dan niet meest gebruikte browser.
29-04-2014, 15:57 door Mysterio
Door Anoniem:
Door Mysterio:
Al deze gebruikers bevonden zich in Syrië en gebruikten Mozilla Firefox.
Wat zou de link met Firefox in dit geval kunnen zijn? Het is wel frappant dat Firefox wordt genoemd aangezien het niet de meest gebruikte browser is en je dus zou verwachten dat op z'n minst een paar andere browsers ook zijn geraakt.

Volgens de naast jouw reactie geplaatste poll is Firefox wel degelijk een veelgebruikte, al dan niet meest gebruikte browser.
Op deze site wellicht. Hoewel de cijfers dubieus zijn worden IE en Google Chrome meer gebruikt. Dat is echter niet het punt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.