image

Onbekend Flash Player-lek gebruikt voor ransomware

vrijdag 8 april 2016, 11:35 door Redactie, 1 reacties

Een onbekende kwetsbaarheid in Adobe Flash Player waarvoor gisteren een noodpatch verscheen is sinds 26 maart van dit jaar gebruikt voor het infecteren van computers met ransomware. Dat hebben verschillende onderzoekers en beveiligingsbedrijven laten weten.

Zogeheten zero day-lekken, kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar is, komen vaker in Adobe Flash Player voor. Deze kwetsbaarheid viel echter op omdat die op een "gedegradeerde" manier werd ingezet. "Ondanks het feit dat deze nieuwe exploit in potentie op elke Adobe Flash-versie kon werken, waaronder een volledig gepatchte versie, besloten de aanvallers het op zo'n manier te implementeren dat alleen oudere Flash-versies het doelwit waren", stelt beveiligingsbedrijf Proofpoint.

In eerste instantie dachten onderzoekers dat de aanvallen tegen een oudere kwetsbaarheid waren gericht, waarvoor Adobe al een nieuwe Flash Player-versie had uitgebracht. Verder onderzoek wees uit dat het om een geheel nieuw beveiligingslek ging waarmee de Cerber- en Locky-ransomware werden verspreid. De aanval bleek echter alleen tegen Flash Player-versie 20.0.0.306 en ouder te werken. Adobe werd vervolgens ingelicht en bevestigde dat de meest recente Flash Player-versie op dat moment vanwege een toegevoegde beveiligingsmaatregel niet kwetsbaar was.

"Anders gezegd hadden ze een wapen dat zelfs het nieuwste pantser kon doorboren, maar gebruikten het alleen tegen een oud pantser en brachten beveiligingsonderzoekers zo op het spoor van een onbekend beveiligingslek", merkt Proofpoint op. Dit soort verkeerde implementaties worden als een "gedegradeerde mode" aangeduid. Iets dat eerder een keer in 2015 en in een keer in 2014 met een Flash Player-lek werd waargenomen. De kwetsbaarheid werd door onderzoeker Kafeine van het blog Malware don't need Coffee op 26 maart gevonden. Vervolgens besloten Eset, FireEye Kaspersky Lab, Microsoft en Proofpoint samen de aanval te onderzoeken, waarna Adobe gisteren een noodpatch uitrolde.

Reacties (1)
08-04-2016, 12:04 door Anoniem
Het enige dat proofpoint bewijst is dit

Het 'pantser' van proofpoint

http://www.proofpoint.com -

Access Denied
Error code 15

This request was blocked by the security rules
2016-04-08 09:xx:xx UTC

Your IPxxx.xxx.xxx.xxx
|Proxy IPxxx.xxx.xxx.xxx(ID xxxxxx)

Incident ID: xxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxx
Powered by Incapsula

https://www.proofpoint.com/us/threat-insight/post/killing-the-internet-by-unnecessary-blocking-innocent-content_readers

Alsof security researchers geen 'proxies' gebruiken.
Stupids!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.