Nu Mozilla heeft besloten om vanaf volgende maand Flash-content in Firefox te blokkeren kan Microsoft niet langer achterblijven, zo laat Andy Patel, beveiligingsexpert en "Cyber Gandalf" van het Finse anti-virusbedrijf F-Secure, in een interview met Security.NL weten.
Verschillende partijen zijn al langer bezig om Flash Player uit te bannen. Zo kondigde Google eerder al aan Flash Player door html5 te willen vervangen. Microsoft heeft echter nog niets van zich laten horen over dit onderwerp. De softwaregigant heeft zowel in Edge als Internet Explorer 11 op Windows 8.1 en Windows 10 Flash Player ingebouwd. Toch hoeft dit volgens Patel geen belemmering te zijn om Flash-content te blokkeren, aangezien Google Chrome ook over een embedded Flash Player beschikt. Patel verwacht dan ook dat Microsoft uiteindelijk wel zal volgen.
Flash Player is op dit moment het favoriete doelwit van internetcriminelen. Wie met een verouderde versie van de browserplug-in over het internet gaat loopt risico om automatisch met malware besmet te raken. Het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie vereist. Deze aanvalsmethode staat als drive-by download bekend. Als Flash-content straks niet meer automatisch wordt afgespeeld kan dit dan ook grote invloed op de veiligheid van internetgebruikers hebben.
"Als Flash verdwijnt zullen internetcriminelen andere dingen moeten aanvallen, zoals Microsoft Silverlight of Java, dat voornamelijk binnen bedrijfsomgevingen wordt gebruikt", stelt Patel. “Ze moeten naar andere plug-ins kijken." Veel van deze plug-ins zullen straks ook standaard worden geblokkeerd en Edge ondersteunt bijvoorbeeld geen Silverlight. "Het voorkomen van een drive-by download is veel lastiger dan het niet openen van een bijlage of het inschakelen van macro’s in een Office-document", aldus Patel. Als Flash Player straks is verdwenen en drive-by downloads minder effectief worden zullen internetcriminelen hun focus volgens de expert meer naar social engineering verleggen.
Op dit moment zijn er al bepaalde ransomware-exemplaren die alleen via e-mail worden verspreid en volledig afhankelijk van social engineering zijn. Patel verwacht dan ook meer social engineering-aanvallen, zoals het gebruik van phishing en besmette e-mailbijlagen. Internetcriminelen zouden daarnaast steeds beter worden in het maken van overtuigende phishingmails om mensen bepaalde links of bijlagen te laten openen. Ook zullen deze aanvallen steeds gerichter worden. Dergelijke aanvallen zijn volgens Patel niet zo effectief als drive-by downloads, maar laten internetcriminelen wel meer mensen aanvallen.
Flash zal echter niet van het één op het andere moment zijn verdwenen, mede door de aanpak die de browserontwikkelaars kiezen. De ondersteuning en het automatisch afspelen worden namelijk stapsgewijs stopgezet. Zo zal Mozilla met Firefox een click-to-play-model gaan hanteren. Gebruikers moeten zelf klikken voordat de Flash-content wordt geactiveerd. Daarnaast zijn er altijd gebruikers die achterlopen. "We zullen mensen met verouderde browsers houden. Drive-by downloads zullen dan ook blijven werken, maar niet meer zo goed als voorheen", zegt Patel. Zoals beveiligingsexperts en organisaties nu het advies aan internetgebruikers geven om geen macro’s in Office-documenten in te stellen, verwacht Patel dat mensen straks zullen adviseren om geen Flash-content in de browser te activeren.
Veel van de Flash-functionaliteit zal uiteindelijk door html5 worden overgenomen, dat standaard door alle moderne browsers wordt ondersteund. Dat maakt de technologie mogelijk interessant voor aanvallers. Ook kunnen kwetsbaarheden in browsers een aantrekkelijk doelwit voor aanvallers worden. Naast Flash Player en Silverlight worden op dit moment ook oudere kwetsbaarheden in Internet Explorer gebruikt om malware te verspreiden. De ontwikkelaars van html5 zouden de problemen die met Flash Player spelen hebben gezien en daarom deze technologie veel meer met veiligheid in het achterhoofd ontwikkeld, gaat Patel verder.
Wat betreft kwetsbaarheden in browsers wijst hij naar wedstrijden als Pwn2Own, waar onderzoekers worden betaald voor het demonstreren van kwetsbaarheden in bijvoorbeeld Chrome en IE en hier grote bedragen mee kunnen verdienen. Bij browsers zoals Chrome heeft veiligheid altijd al een rol gespeeld, merkt Patel op. Het vinden van browserkwetsbaarheden is dan ook geen eenvoudige opgave. Zo zijn er nog nooit drive-by downloads ontdekt die van lekken in Chrome gebruikmaken. Patel denkt dan ook dat dit soort beveiligingslekken vooral aan landen zijn voorbehouden en die zullen ze vooral bij gerichte aanvallen inzetten. Het verdwijnen van Flash is dan ook goed nieuws en zal de veiligheid van internetgebruikers ten goede komen. "En nu is het wachten totdat ook Microsoft volgt", besluit Patel.
Microsoft heeft in april laten weten dat het deze zomer zal stoppen met het automatisch afspelen van alle Flash-advertenties en andere Flash-content die niet centraal op de website staat. Flash-content die op de pagina centraal staat, zoals video of spelletjes, zal Edge voorlopig niet pauzeren. Op een later moment zullen gebruikers echter wel de mogelijkheid krijgen om ook deze centrale Flash-content standaard te pauzeren. Microsoft heeft nog niet laten weten of deze mogelijkheden ook voor gebruikers van Internet Explorer beschikbaar worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.