Volgens http://blogs.technet.com/b/srd/archive/2008/02/06/the-kill_2d00_bit-faq_3a00_-part-1-of-3.aspx respecteren Office applicaties "killbits". Of dit onder Windows 8.x en 10 ook nog zo is, weet ik niet (maar ik vermoed van wel).

Je kunt zo'n killbit zetten ook als de ActiveX Flash plugin (momenteel c:\Windows\System32\Macromed\Flash\Flash64_18_0_0_209.ocx en mogelijk c:\Windows\SysWOW64\Macromed\Flash\Flash32_18_0_0_209.ocx) niet -of vooral: nog niet is geïnstalleerd.

Je zou de gebruiker eventueel een andere browser (Firefox bijv.) kunnen laten gebruiken waarin Flash wel wordt ondersteund doch met click-to-play (of beter, met NoScript). Firefox gebruikt een andere plugin (momenteel NPSWF32_18_0_0_209.dll; deze negeert killbits in het register).

In mijn reacties in https://www.security.nl/posting/437593/Eerste+beveiligingsupdates+voor+Windows+10+al+uitgerold beschrijf ik hoe je die killbits kunt zetten.

Thanks Erik, dit is een soort van opt-in voor applicaties als ik het goed lees? IE/Office/etc. ziet een killbit en stopt Flash maar applicatie Y ziet de killbit en denkt "whaa daar doen we niet aan mee" en start Flash?

Ik kwam ook dit nog tegen: "Internet Explorer's HTML application host also respects the killbit when processing the OBJECT tag in HTML, but not when processing scripts in HTML."

De enige waterdichte methode is dan om Flash uit je hele systeem te slopen?

Word? Dat was toch iend vorige eeuw populair? Sinds die tijd eigenlijk nooit meer gebruikt...

Ik durf gewoon de deur niet meer uit!

Eh, alle gekheid op een stokje, nergens, ook in de 2012 verwijzingen lijkt iets essentieels niet beschreven.
Via welke route haalt de Flash malware de gewenste extra code op?

Het lijkt me dat een en ander simpel wordt tegengehouden als je met whitelisting bij een geïnstalleerde outbound firewall werkt.
Mits het aangeroepen proces niet al gewhitelisted is, Office hoeft geen contact met internet, PDF readers ook niet, eigenlijk een grote meerderheid van je programma's niet.
(m.u.v. de keren dat je een update ronde doet).

In geval de malware extra code wil ophalen middels het openen en verder gebruik van je browser, valt daar ook nog wel wat op te verzinnen, als je dat niet al gedaan had.

De gevonden hacking team Office versies waren overigens allen bedoeld voor Windows en worden inmiddels steeds beter door tal van AV scanners herkend.

2015-010-Excel.zip
2015-007-PowerPoint.zip
2015-006-Word.zip

Heb de exemplaren niet uitgeprobeerd op werking.
Pas er maar goed mee op als je dat wel gaat doen, reserveer er maar een apart systeem voor dat je nergens anders voor gebruikt.

Ik kan mij overigens vaag herinneren dat de eerste keer dat deze wijze van misbruik al langer geleden in het nieuws kwam en dat het een probeersel in Excel betrof, waarbij ik mij toen al afvroeg waarom je in vredesnaam de functionaliteit van embedded Flash content in Excel of een spreadsheet zou willen hebben.

Yep... En dan bv. Google Chrome of Microsoft Edge gebruiken omdat die een embedded Flash player hebben (wel click-to-play natuurlijk, als MS Edge dat ondersteunt?)

En dit is waarom ik een hekel heb aan dat win 8/10 standaard met flash komt...
Blijft drama dat flash

Haha, ik gebruik al jaren EMET en die is minstens zo effect (mits de meeste opties ingeschakeld worden) in het mitigeren van generieke malware als de beste consumenten-AV/anti-malware oplossingen. En Flash moet gewoon SSLv3 achterna; HTML5 kan alles wat Flash kan en met WebGL nog veel sneller, veiliger en op alle devices. Daarnaast zijn Flash exploits al sinds de introductie eind jaren 90 structureel een wederkerend issue. Tijd om het te stekkeren !