Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties
Submitter: henktiggelaar

De nieuwste versie van Adobe Flash bevat een zero-day-kwetsbaarheid, waardoor aanvallers malware kunnen installeren. In ieder geval Internet Explorer-gebruikers op Windows-versies eerder dan 8.1 zijn kwetsbaar; Chrome-gebruikers zijn veilig.

FlashIn ieder geval gebruikers van Internet Explorer 8 op Windows XP en Windows 7, evenals gebruikers van Internet Explorer 10 op Windows 8 en Windows 8 RT, zijn kwetsbaar. Gebruikers van Windows 8.1 zijn redelijk veilig; er treedt dan wel een beveiligingsprobleem op, maar dat is minder groot.

De ontdekker van het misbruik van de zero day, beveiligingsonderzoeker 'Kafeine', heeft vastgesteld dat Chrome-gebruikers gevrijwaard zijn van problemen, dankzij de sandbox waarbinnen code in Googles browser draait. Of andere browsers en besturingssystemen veilig zijn, moet nog blijken.

Er is nog maar weinig over de werking van de zero day bekend; totdat Adobe de kwetsbaarheid heeft gedicht, houdt Kafeine zijn kaken stijf op elkaar. Een zero-day-kwetsbaarheid is een bug die nog niet is gepatcht en waar gebruikers zich dus niet of nauwelijks tegen kunnen wapenen.

De kwetsbaarheid is volgens Kafeine opgenomen in de Angler-exploitkit, wat er op wijst dat de bug een kwaadwillende malware laat installeren. Exploitkits worden door aanvallers gebruikt om op grote schaal malware te installeren, bijvoorbeeld adware of ransomware. De exploitkits kunnen bijvoorbeeld via malafide advertenties de malware op pc's van gebruikers krijgen.

Moderatie-faq Wijzig weergave

Reacties (71)

En niemand heeft het er over dat Firefox ook in het lijstje staat :P
Zelfs de redactie had nog niet genoeg "kafeine" op om het te melden.
Als je de bron leest dan is inderdaad meer kwetsbaar dan alleen MS`s IE.

Quote T.net;
De kwetsbaarheid is volgens Kafeine opgenomen in de Angler-exploitkit

Quote Kafeine;
Note : This exploit is not being used in all Angler instancess.
en;
Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled.
.Know that Firefox last version is owned as well

en;
So the payload I got is Bedep which can have one or both of this functions : AdFraud, Malware loading.

This familly is the child of the group behind Angler EK and Reveton (and is fast replacing Reveton in many distribution path - We have seen this Ransomware -> AdFraud transition with Kovter as well, where some do Ransomware -> Banking (as did Qadars group) ) .


Maar goed, goed dat Kafeine "zijn kaken stijf op elkaar houdt" tot het gedicht is.
Daar kunnen sommige anderen een puntje aan zuigen. ;)

[Reactie gewijzigd door Teijgetje op 22 januari 2015 17:27]

Haha, bedankt voor het uitzoekwerk :)

Ik word zelf (als M$ fanboy, ik kan er niets aan doen) een beetje moe van dat IE gezemel de hele tijd, dus fijn dat het ook af en toe gerelativeerd wordt.
En aangepast wordt het ook niet...
Tja een artikel half wijzigen.....dan kloppen de reacties niet meer en krijg je overal reacties op als "maar dat staat er toch niet? en replies als "het artikel is inmiddels aangepast""
(levert wel meer hits op natuurlijk. :+ )
Dat doet Kafeine ook namelijk, updaten, vandaar de misverstanden misschien.
(zo heeft hij het eerst over een aanval door Angler EK waar hij even later zegt dat de exploit niet voorkomt in alle Angler gevallen?
En was 8.1 + IE11 veilig maar nu zijn alle browsers met Flash enabled vulnerable.)

Misschien moeten we "This family (Bedep) is the child of the group behind Angler EK en Reveton" ook maar vast vertalen.....

Het (Bedep) is dus ontwikkeld door diezelfde groep die achter Angler EK en Reveton zit, het is geen kind van Angler. ;)

[Reactie gewijzigd door Teijgetje op 22 januari 2015 17:51]

Ik gebruik internet explorer 11..
Maar het is niet uit te sluiten dat internet explorer de enigste browser is, waarbij het mogelijk is.
Maar voor een zero-day kwetsbaarheid flash uit te schakelen vindt ik wat over dreven.
Gewoon opletten welke sites je gebruikt en regelmatig scannen met hitman pro etc, lijkt mij voldoende.
Maar de oorzaak licht hier toch echt bij adobe. die hun software niet goed getest heeft.
Maar ik ga er van uit dat adobe dit patch binnen een aanzienbare tijd.

[Reactie gewijzigd door coolbvrobin op 22 januari 2015 15:23]

Ik gebruik internet explorer 11..
Maar het is niet uit te sluiten dat internet explorer de enigste browser is, waarbij het mogelijk is.
Over Firefox wordt niet gesproken in het artikel, dus die kan mogelijk ook kwetsbaar zijn. IE11 op Windows 8.1 is waarschijnlijk niet kwetsbaar omdat die een eigen ingebakken Flash heeft. Dat is niet de reguliere flash plugin die je moet downloaden als geen Windows 8(.1) hebt.
Gewoon opletten welke sites je gebruikt en regelmatig scannen met hitman pro etc, lijkt mij voldoende.
Het probleem is dat nu advertenties misbruikt worden om virussen te serveren. Bekende sites als Nu.nl, Wehkamp en Marktplaats hebben allemaal al een keer het nieuws gehaald omdat via de advertenties op hun sites malware geserveerd werd. Stuk voor stuk dus allemaal normale, betrouwbare websites maar dankzij de ad server allemaal bronnen van malware geworden.

Beter is dan nog om iets als EMET 5.1 te installeren om exploits te stoppen. En eventueel een adblocker om misbruik via reclames tegen te houden.
TL:DR Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled.
bron: http://malware.dontneedco...bility-0day-in-flash.html
Firefox en IE zijn beide kwetsbaar.
Over Firefox wordt niet gesproken in het artikel, dus die kan mogelijk ook kwetsbaar zijn. IE11 op Windows 8.1 is waarschijnlijk niet kwetsbaar omdat die een eigen ingebakken Flash heeft. Dat is niet de reguliere flash plugin die je moet downloaden als geen Windows 8(.1) hebt.
Volgens het artiekel staat redelijk veilig.
Dus ik neem aan niet helemaal
Beter is dan nog om iets als EMET 5.1 te installeren om exploits te stoppen. En eventueel een adblocker om misbruik via reclames tegen te houden.
Adblock die draai ik zo wie zo al. Want helaas zonder is tegenwoordig ook een redelijk risico.
Ofc op tweakers staat hij uit.

[Reactie gewijzigd door coolbvrobin op 22 januari 2015 15:50]

Malwarebytes Anti-Exploit beschermt tegen dit lek zo valt te lezen in het artikel van Kafeine: https://www.malwarebytes.org/antiexploit/
As I want to thanks them for their Trust, I will shamelessly tell you that I tested it against the free version of Malwarebytes Anti Exploit (a product from one of my customer). They stopped it. Well done !
bron: http://malware.dontneedco...bility-0day-in-flash.html
Flash werkt natuurlijk anders op Firefox dan op IE (volgens mij zijn er ook verschillende installatiepakketten voor, of die waren er vroeger tenminste). Kan dus best zijn dat het inderdaad een combi is van flash+ie
Apart voor IE en Fx nog steeds ja ;)
Kunnen ze niet gewoon met flash stoppen? Volgens mij heeft jobs dit een jaar of 7 geleden erg goed bekeken. Het zit altijd vol bugs het werkt niet vloeiend en weinig mensen maken er nog gebruik van.
Ik noem er een paar:
Fifa UT web app
NPO
Tweakers.net
Das grappig. ik heb geen flash en nooit gemist op tweakers.net ...
Hoewel er al jaren een HTML5 versie is, die in kan stellen als voorkeur, is Flash nog steeds de standaard methode op YouTube. Dus zo weinig zijn het nou ook weer niet. Iedereen die het niet zelf anders instelt kijkt vanaf zijn desktop via Flash naar video's en ads. De reden dat dit zo is, is omdat wereldwijd nog steeds veel oude browsers worden gebruikt, die geen HTML5 ondersteunen. Ook heeft HTML5 nog een aantal beperkingen. Zover ik na kan gaan ondersteunt HTML5 bijvoorbeeld nog steeds geen live video streaming.
in chrome word tegenwoordig al langer HTML5 als default gebruikt hoor, ook zonder dit in te stellen op youtube
Youtube en Chrome zijn allebei van Google dus dan kan Google zoiets onopvallend doen, maar zelfs Chrome heeft nog steeds standaard de Flash player aan boord. En die wordt automatisch geŘpdate, volgens adobe.com. Dat zegt iets over hoe de stand van zaken ten opzichte van HTML5.

Ga je bijvoorbeeld naar NPO.nl dan gebruikt Chrome ook gewoon weer de Flash player.

Begrijp me goed, ik ben ook kritisch over hoe Adobe de zaken aanpakt met Flash, maar het is wel een diep gewortelde standaard en dat is ook wat waard. Dat verklaart waarom Flash nog zoveel gebruikt wordt. Als aanbieder Ún gebruiker wil je een degelijke standaard, niet zoiets als Silverlight dat na paar jaar alweer dood verklaard wordt.

Dat een groot deel van het tweakers publiek zonder kan, wil nog niet zeggen dat Flash binnen een jaar uitgebannen is. Globaal gezien blijven veel mensen nou eenmaal net zo lang hangen in hun oude (pre-HTML5) browser tot hun computer het begeeft.
Kunnen ze niet gewoon met flash stoppen? Volgens mij heeft jobs dit een jaar of 7 geleden erg goed bekeken. Het zit altijd vol bugs het werkt niet vloeiend en weinig mensen maken er nog gebruik van.
Zou mooi zijn. Moeten ze wel even snel zorgen dat je dan nog kan internetbankieren bij Nationale Nederlanden, om ook maar een voorbeeld te noemen.
Daarom gebruik ik Chrome. Alles draait binnen een sandbox dus mooi veilig.
Tuurlijk kan daar ook een beveiligingslek inzitten, maar chrome heeft regelmatig update's waarin ze vele lekken dichten.

[Reactie gewijzigd door Mijnenveger op 22 januari 2015 14:48]

En in tegenstelling tot echte malware, heeft google ook een redelijk reclame beleid. Je krijgt een 18+ reclame, geen pop-ups, en doordat ze goed op alle mogelijke manieren bijhouden waar je interesses liggen, krijg je ook vooral advertenties geserveerd die relevant zijn.

Voor de niet Chrome gebruikers, als je je veiligheid en privacy wilt gebruiken, is het verstandig adobe flash gewoon standaard uit te zetten, en alleen te activeren voor pagina's die je kent, en waar het nodig is.
Of je kunt gebruik maken van Anti Exploit kits zoals Malwarebytes Anti-Exploit of SurfRight HitmanPro.Alert (versie 3).
Niet alleen dat, gebruik maken van EMET 5.05.1 zorgt er dat vele exploits getakeld worden. Het installeren van een goede adblocker doet ook wonderen :)

Ik vind het daarbij een erg snelle conclusie van tweakers om dit te melden:
In ieder geval Internet Explorer-gebruikers op Windows-versies eerder dan 8.1 zijn kwetsbaar; Chrome-gebruikers zijn veilig.
Als je zijn exploits doorneemt zie je nergens Windows 7 of windows8.1 met Internet Exlorer 11 er tussen staan.
Exploited :
- Windows XP, Firefox 35, Flash 16.0.0.287
Mozilla/5.0 (Windows NT 5.1; rv:35.0) Gecko/20100101 Firefox/35.0
[/Edit : 2015-01-22]
- Windows XP, IE6 to 8 obviously. Flash 16.0.0.257
- Windows XP, IE6 to 8 Flash 16.0.0.287 - 2015-01-22 (replayed in lab environnement) :
- Windows 7, IE8 , Flash 16.0.0.257 :
UA : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
- Win 8 IE10 with Windows8-RT-KB3008925-x86 (Flash 16.0.0.235) -
UA : Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
- Win8 IE10 all updates (Flash 16.0.0.257)
Bij Internet Explorer 11 draait ook alles in een sandbox, dus misschien is het verstandig om iets meer uit te zoeken voordat het artikel geposted wordt? Voordat er weer een drama ontstaat zoals een tijdje geleden op het NOS nieuws? Uiteindelijk bleek iedere browser toen vatbaar te zijn :)

[Reactie gewijzigd door vali op 22 januari 2015 15:47]

MS zelf geeft overigens wel aan dat het zelfs voor Windows 8.1 een critical update is. Elke IE sinds 6 word ook genoemt.
This security update is rated Critical for Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8 ), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), and Internet Explorer 11 (IE 11) on affected Windows clients
https://technet.microsoft.com/library/security/ms14-021

De Protected mode van IE, die 'verbeterde' sandbox, draait alleen op IE11 default op Windows 8.1 installaties. Windows 7 en 8.0 draait zonder en die zijn wel vatbaar.

[Reactie gewijzigd door batjes op 22 januari 2015 15:41]

Dat is een posted uit mei 2014??
Dan heb ik de verkeerde gepakt, daar kwam ik op uit via een bericht van 2 dagen terug x.x
nvm dan :)

[Reactie gewijzigd door batjes op 22 januari 2015 15:43]

Ja of beter, je doet het niet op browser niveau met een plugin die de advertenties verstopt maar je blokkeert de crap gewoon op host(file) niveau.:
http://someonewhocares.org/hosts/hosts
Flash, nodig ?
Ik ben benieuwd. Dat voor sommige toepassingen java nodig is, okay, maar flash?
Java is net zo min nodig als flash. Beide heb ik al een flinke tijd niet meer geinstalleerd staan en het bevalt me prima :)
Enkel de exploit uitvoeren met daarin reguliere malware ben je inderdaad veilig, maar vergeet niet dat er vaak andere exploits gecombineerd kunnen worden om te ontsnappen uit de sandbox van Chrome.

Er wordt code uitgevoerd binnen de sandbox, de truc is nu nog om uit de Sandbox te komen, en dat kan makkelijker zijn dan dat men denkt. Virtualiseren is ook niet zo veilig als men denkt. Denk bijvoorbeeld aan VMWare, een virus kan hiervoor ook in theorie een exploit misbruiken om de host PC te infecteren.
'waarin ze vele lekken dichten' lijkt nogal in tegenspraak met 'mooi veilig' ?
Daarom gebruik ik geen flash (en heb dat ook niet geinstalleerd).
Wat een vreemd argument. Er gebeuren op straat ongelukken, dus ik kom niet op straat.
Ik gebruik zelf Waterfox, dat is dus wel risky. Toch maar even met whitelists gaan werken dus.
Vind het anders best een goed argument.

Flash heeft wel vaker zero day exploit's gehad, en als de persoon zich daardoor bedreigt voelt vind ik dat best een goede reden om het niet te gebruiken. Al helemaal nu er tegenwoordig veiligere maar ook betere alternatieven zijn.

Het is dat ik voor YouTube af en toe nog Flash nodig heb, maar anders had ik het er ook afgegooid. Al helemaal als ik het verder nergens voor nodig heb. Waarom zou ik het installeren als ik het niet nodig heb?
Whitelists voor sites, of wat anders?
Want in principe is elke site potentieel een risico, bv nu.nl met z'n banners.
Nou als ik american football wil kijken dan heb ik het toch echt nodig, anders kan ik het mooi niet zien.
Ik gebruik OSX. Dan draait Chrome in een sandbox welke Flash ook weer in een sandbox draait.
Goed dat het deze keer nog even stilgehouden wordt zodat er niet nog meer ellende ontstaat.
Maar wat zal ik blij zijn als Flash..resourcehoggende meuk.. eindelijk eens met pensioen gaat. Kunnen de malware-muppets een ander softwareslachtoffer gaan zoeken die leuke bugs heeft om te abusen :P Gelukkig was ik te lam om vandeweek deze update te installeren op mijn gamebak, it paid off for once :+
Toch maar even snel de komende update installeren. Had toevallig gisteren de laatste versie ge´nstalleerd om gebruik te maken van de VMWare web client. Daarnaast mag Flash van mij helemaal afgeschaft worden. Is tegenwoordig met HTML5 ook amper meer nodig naar mijn idee.
Wat is het probleem op RT Windows versies? Deze versie gemaakt voor ARM processors wijkt namelijk flink af van de normale versie aangezien er geen normale exe bestanden kunnen worden uitgevoerd. Het is lastig om dan succesvol malware te installeren.
Malware kan ook gewoon een .bat zijn...
Tip Firefox: Onder add-ons > Plug-ins, zet Shockwave Flash uit; "Never activate", of op "Ask to activate".

Herstart Firefox en test hier of de instelling werkt: https://www.adobe.com/nl/software/flash/about/
De exploitkits kunnen bijvoorbeeld via malafide advertenties de malware op pc's van gebruikers krijgen.
Precies de reden dat ik zonder uitzondering een ad-blocker gebruik. Sorry tweakers!
Internet Explorer 11 is ook geen issue
Ik kan deze informatie niet vinden in de link dat tweakers geeft. Waar haal je deze informatie vandaan?
IE11 in protected mode is hier niet fatbaar voor, maar dit is alleen vanaf 8.1 default, vandaar zoals in het artikel ook aangegeven word dat 8.1 niet vatbaar is.
Met Protected mode, of voor IE10, Enhanced Protection mode, is ook IE10 niet vatbaar voor deze exploit.

Of EMET 4.1/5.0 draaien.

Elke tweaker of fatsoenlijk opgezet bedrijfs netwerk zou hier dus niet fatbaar voor moeten zijn met IE10-11.
niet fatbaar

Zijn ze dan misschien wel NTFSbaar? :Y)
hehe, ik dacht dat ik die typo aangepast had maar heb ik het nog een keer getypoed :P
Er staat bij Safe het volgende:
- Win 8.1 full updated : the bullet is not fired but a smaller landing and a flash which is (to be confirmed) CVE-2014-0322 helper I think.
UA : Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko

Dat betekent dat IE11 op Windows 8.1 veilig is (voor zover ik het begrijp). IE11 op andere besturingssystemen worden door dhr. Kafeine niet bevestigd of ontkend

[edits: veel spelfouten zeg]

[Reactie gewijzigd door anargeek op 22 januari 2015 15:39]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True