image

Onbekend lek in Flash Player aangevallen via Word-document

zaterdag 14 mei 2016, 07:59 door Redactie, 4 reacties

Het onbekende beveiligingslek in Adobe Flash Player waarvoor deze week een update verscheen is wel degelijk aangevallen, waarvoor aanvallers kwaadaardige Word-documenten gebruikten. Adobe maakte dinsdag bekend dat het met een update voor Flash Player versie 21.0.0.226 en eerder zou komen.

Volgens het softwarebedrijf bestond er een "exploit" voor de kwetsbaarheid. Via exploits kunnen aanvallers ongepatchte beveiligingslekken aanvallen. In het verleden zijn onbekende lekken in Flash Player vaker aangevallen. Adobe liet gebruikers in de waarschuwingen en release notes van de betreffende updates ook weten dat er aanvallen waren waargenomen en hier hiervan op de hoogte was. In dit geval is daar niet voor gekozen. We hebben Adobe dan ook om opheldering gevraagd.

Het Amerikaanse beveiligingsbedrijf FireEye stelt namelijk dat het op 8 mei een aanval op het onbekende Flash Player-lek ontdekte en vervolgens Adobe informeerde. De aanvallers bleken kwaadaardige Word-documenten te gebruiken om het Flash Player-lek aan te vallen. Opvallend aan de aanval is dat die tegen oudere versies van Adobe Flash Player was gericht, ook al was het onbekende lek in alle versies op dat moment aanwezig. Zodra een doelwit het Word-document opende werd eerst gecontroleerd welke Flash Player-versie op de computer geïnstalleerd was.

In het geval de Flash Player-versie ouder dan versie 21.0.0.196 was werd de aanval gestopt. Was dit niet het geval, dan werd de Flash-aanval uitgevoerd en malware op de computer geplaatst. Ook werd er een echt document als afleiding getoond. Op het moment van de aanval was Flash Player versie 21.0.0.226 al beschikbaar. Gebruikers die de meest recente versie hadden geïnstalleerd, ook al was die wel kwetsbaar, zouden tegen de aanval beschermd zijn geweest. Daarnaast adviseert FireEye het gebruik van EMET, een gratis beveiligingstool van Microsoft. Volgens het beveiligingsbedrijf maakt EMET het veel lastiger en kostbaarder voor aanvallers om kwetsbaarheden in Flash Player aan te vallen.

Reacties (4)
14-05-2016, 10:04 door Erik van Straten
In mijn reactie onder [1] verwijs ik naar een Microsoft pagina waarin staat hoe je het uitvoeren van Flash content in Microsoft Office files (waaronder MS Word) kunt blokkeren.

Op 64 bit systemen moet je zowel onder de reguliere registersleutel een killbit zetten, als onder de "Wow6432Node".

[1] https://www.security.nl/posting/437736/Flash+Player-gebruikers+ook+buiten+browser+aangevallen
15-05-2016, 00:32 door Anoniem
Volgens het beveiligingsbedrijf maakt EMET het veel lastiger en kostbaarder voor aanvallers om kwetsbaarheden in Flash Player aan te vallen.

EMET is waardeloos, CFG en sandboxing zijn veel betere mitigations.
15-05-2016, 09:36 door Anoniem
Het idee van de mitigations in EMET is goed maar de manier waarop Microsoft het doet en afhandeld is waardeloos en maakt EMET een slechte tool.
17-05-2016, 10:05 door Skizmo
Ik miste het 'onbekende lek'-artikel van de week deze week al... gelukkig maar, begon me al zorgen te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.