image

Flash Player-gebruikers ook buiten browser aangevallen

vrijdag 31 juli 2015, 10:38 door Redactie, 7 reacties

Vanwege de recente beveiligingsproblemen met Adobe Flash Player zijn er gebruikers die de plug-in in hun browser hebben uitgeschakeld of alleen nog via click-to-play activeren, maar wie Flash Player op zijn computer heeft geïnstalleerd kan ook buiten de browser worden aangevallen. Dat meldt Trend Micro.

De aanvallers embedden in dit geval een Flash-bestand in een Word-document. Zodra de gebruiker het document opent zal het Flash-bestand proberen om een beveiligingslek in Flash Player te misbruiken en zo malware op de computer te installeren. Deze aanvalsmethode wordt al enige tijd gebruikt en is niet nieuw. Recentelijk heeft Trend Micro echter aanvallen gezien waarbij de tactiek weer werd ingezet.

Het ging om e-mails die van de Taiwanese overheid afkomstig leken en een document bevatten. Het document maakt vervolgens gebruik van een kwetsbaarheid in Adobe Flash Player waar het Italiaanse HackingTeam over beschikte. Daarbij zou de aanvalscode in staat zijn om zowel 64-bit versies van Windows als Mac OS X aan te vallen. Het Japanse anti-virusbedrijf adviseert security-bewuste internetgebruikers dan ook om Adobe Flash Player volledig van hun systeem te verwijderen als dit mogelijk is.

Reacties (7)
31-07-2015, 11:08 door Erik van Straten
Volgens http://blogs.technet.com/b/srd/archive/2008/02/06/the-kill_2d00_bit-faq_3a00_-part-1-of-3.aspx respecteren Office applicaties "killbits". Of dit onder Windows 8.x en 10 ook nog zo is, weet ik niet (maar ik vermoed van wel).

Je kunt zo'n killbit zetten ook als de ActiveX Flash plugin (momenteel c:\Windows\System32\Macromed\Flash\Flash64_18_0_0_209.ocx en mogelijk c:\Windows\SysWOW64\Macromed\Flash\Flash32_18_0_0_209.ocx) niet -of vooral: nog niet is geïnstalleerd.

Je zou de gebruiker eventueel een andere browser (Firefox bijv.) kunnen laten gebruiken waarin Flash wel wordt ondersteund doch met click-to-play (of beter, met NoScript). Firefox gebruikt een andere plugin (momenteel NPSWF32_18_0_0_209.dll; deze negeert killbits in het register).

In mijn reacties in https://www.security.nl/posting/437593/Eerste+beveiligingsupdates+voor+Windows+10+al+uitgerold beschrijf ik hoe je die killbits kunt zetten.
31-07-2015, 11:34 door Anoniem
Thanks Erik, dit is een soort van opt-in voor applicaties als ik het goed lees? IE/Office/etc. ziet een killbit en stopt Flash maar applicatie Y ziet de killbit en denkt "whaa daar doen we niet aan mee" en start Flash?

Ik kwam ook dit nog tegen: "Internet Explorer's HTML application host also respects the killbit when processing the OBJECT tag in HTML, but not when processing scripts in HTML."

De enige waterdichte methode is dan om Flash uit je hele systeem te slopen?
31-07-2015, 11:37 door Anoniem
Word? Dat was toch iend vorige eeuw populair? Sinds die tijd eigenlijk nooit meer gebruikt...
31-07-2015, 14:56 door Anoniem
Flash Player-gebruikers ook buiten browser aangevallen

Ik durf gewoon de deur niet meer uit!

Eh, alle gekheid op een stokje, nergens, ook in de 2012 verwijzingen lijkt iets essentieels niet beschreven.
Via welke route haalt de Flash malware de gewenste extra code op?

Het lijkt me dat een en ander simpel wordt tegengehouden als je met whitelisting bij een geïnstalleerde outbound firewall werkt.
Mits het aangeroepen proces niet al gewhitelisted is, Office hoeft geen contact met internet, PDF readers ook niet, eigenlijk een grote meerderheid van je programma's niet.
(m.u.v. de keren dat je een update ronde doet).

In geval de malware extra code wil ophalen middels het openen en verder gebruik van je browser, valt daar ook nog wel wat op te verzinnen, als je dat niet al gedaan had.

De gevonden hacking team Office versies waren overigens allen bedoeld voor Windows en worden inmiddels steeds beter door tal van AV scanners herkend.

2015-010-Excel.zip
2015-007-PowerPoint.zip
2015-006-Word.zip

Heb de exemplaren niet uitgeprobeerd op werking.
Pas er maar goed mee op als je dat wel gaat doen, reserveer er maar een apart systeem voor dat je nergens anders voor gebruikt.

Ik kan mij overigens vaag herinneren dat de eerste keer dat deze wijze van misbruik al langer geleden in het nieuws kwam en dat het een probeersel in Excel betrof, waarbij ik mij toen al afvroeg waarom je in vredesnaam de functionaliteit van embedded Flash content in Excel of een spreadsheet zou willen hebben.
31-07-2015, 17:03 door Anoniem
Door Anoniem: Thanks Erik, dit is een soort van opt-in voor applicaties als ik het goed lees? IE/Office/etc. ziet een killbit en stopt Flash maar applicatie Y ziet de killbit en denkt "whaa daar doen we niet aan mee" en start Flash?

Ik kwam ook dit nog tegen: "Internet Explorer's HTML application host also respects the killbit when processing the OBJECT tag in HTML, but not when processing scripts in HTML."

De enige waterdichte methode is dan om Flash uit je hele systeem te slopen?

Yep... En dan bv. Google Chrome of Microsoft Edge gebruiken omdat die een embedded Flash player hebben (wel click-to-play natuurlijk, als MS Edge dat ondersteunt?)
03-08-2015, 06:11 door Anoniem
En dit is waarom ik een hekel heb aan dat win 8/10 standaard met flash komt...
Blijft drama dat flash
16-05-2016, 10:25 door Anoniem
Haha, ik gebruik al jaren EMET en die is minstens zo effect (mits de meeste opties ingeschakeld worden) in het mitigeren van generieke malware als de beste consumenten-AV/anti-malware oplossingen. En Flash moet gewoon SSLv3 achterna; HTML5 kan alles wat Flash kan en met WebGL nog veel sneller, veiliger en op alle devices. Daarnaast zijn Flash exploits al sinds de introductie eind jaren 90 structureel een wederkerend issue. Tijd om het te stekkeren !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.