image

Nieuwe aanval via net gepatcht lek in Adobe Flash Player

vrijdag 20 oktober 2017, 11:26 door Redactie, 4 reacties

Afgelopen maandag 16 oktober kwam Adobe met een noodpatch voor een actief aangevallen zeroday-lek in Flash Player en nog geen twee dagen later is er een nieuwe aanval waargenomen die van de kwetsbaarheid misbruik maakt. Dat laat securitybedrijf Proofpoint in een analyse weten.

De aanvallers versturen een e-mail met als bijlage een Microsoft Word-document genaamd "World War 3.docx". Aan het Word-document is een embedded ActiveX-object toegevoegd dat de Flash Player-exploit bevat. Deze exploit maakt misbruik van de kwetsbaarheid in Flash Player. Alleen het openen van het document met een ongepatchte versie van Flash Player op een Windows-computer is voldoende om besmet te raken.

Onderzoekers hebben het document getest en stellen dat de aanval succesvol is op Windows 7 en Windows 10 met een kwetsbare versie van Flash Player en Microsoft Office 2013. MacOS-gebruikers zijn geen doelwit van de aanval en ook gebruikers met een 64-bit versie van Microsoft Office 2016 in combinatie met de Windows 10 Fall Creators Update zijn tegen de exploit beschermd.

Volgens Proofpoint blijkt uit verschillende zaken dat de aanvallers deze aanvalscampagne waarschijnlijk snel in elkaar hebben gezet, om zo gebruikers en organisaties aan te kunnen vallen die de beschikbare update nog niet hebben geïnstalleerd. In het geval de aanval succesvol is wordt er malware geinstalleerd waarmee aanvallers het systeem verder kunnen verkennen.

De aanval wordt door Proofpoint toegeschreven aan een groep aanvallers genaamd APT28, die ook bekendstaat als Fancy Bear, Pawn Storm, Sofacy en Strontium. Volgens verschillende beveiligingsbedrijven gaat het om een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden.

Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de presidentscampagne van Hillary Clinton, de Franse televisiezender TV5, het Wereld Anti-Doping Agentschap (WADA), de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, het campagneteam van de Franse president Macron, Europese diplomaten en wifi-netwerken in Europese hotels door de groep aangevallen.

Image

Reacties (4)
20-10-2017, 14:26 door Anoniem
Gelukkig maar dat iedereen flash van zijn computer heeft verwijderd :)
het is immers al jaren in onbruik, dus niet meer nodig.
20-10-2017, 17:43 door Anoniem
De enige goed patch voor flash player is een uninstall
20-10-2017, 21:20 door [Account Verwijderd] - Bijgewerkt: 22-10-2017, 20:07
Door Anoniem: Gelukkig maar dat iedereen flash van zijn computer heeft verwijderd :)
het is immers al jaren in onbruik, dus niet meer nodig.
en:
Door Anoniem: De enige goed patch voor flash player is een uninstall

Als je enige ruimere kennis van Windows hebt weet je dat de embedded Flash niet te vewijderen is uit IE 11 in W7, 8.1 en W10. De routine van updates zodra deze beschikbaar zijn snel toepassen en een schietgebedje als je weer leest dat er een Zero-day is geconstateerd is het enige te volgen protocol in dit geval.

En ja... hoewel ik nog steeds een tevreden W8.1 gebruiker ben.....m.b.t. dit feit valt Microsoft inmiddels wel een vastgeroest security kompas te verwijten!

Een ingrijpende Windows-upgrade waardoor de Embedded Flash voltooid verleden tijd wordt zou Microsoft sieren.

----------------------------------------------------------------------------------------------

Correctie: In Windows 7 is geen Embedded Flash aanwezig

(met dank aan anoniem, 22-10, 10:35 uur)
22-10-2017, 10:35 door Anoniem
Door Aha:
Als je enige ruimere kennis van Windows hebt weet je dat de embedded Flash niet te vewijderen is uit IE 11 in W7, 8.1 en W10.
Dit is niet het geval voor W7.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.