Aanvallers misbruiken zero-day-kwetsbaarheid in Flash

De nieuwste versie van Adobe Flash bevat een zero-day-kwetsbaarheid, waardoor aanvallers malware kunnen installeren. In ieder geval Internet Explorer-gebruikers op Windows-versies eerder dan 8.1 zijn kwetsbaar; Chrome-gebruikers zijn veilig.

Flash In ieder geval gebruikers van Internet Explorer 8 op Windows XP en Windows 7, evenals gebruikers van Internet Explorer 10 op Windows 8 en Windows 8 RT, zijn kwetsbaar. Gebruikers van Windows 8.1 zijn redelijk veilig; er treedt dan wel een beveiligingsprobleem op, maar dat is minder groot.

De ontdekker van het misbruik van de zero day, beveiligingsonderzoeker 'Kafeine', heeft vastgesteld dat Chrome-gebruikers gevrijwaard zijn van problemen, dankzij de sandbox waarbinnen code in Googles browser draait. Of andere browsers en besturingssystemen veilig zijn, moet nog blijken.

Er is nog maar weinig over de werking van de zero day bekend; totdat Adobe de kwetsbaarheid heeft gedicht, houdt Kafeine zijn kaken stijf op elkaar. Een zero-day-kwetsbaarheid is een bug die nog niet is gepatcht en waar gebruikers zich dus niet of nauwelijks tegen kunnen wapenen.

De kwetsbaarheid is volgens Kafeine opgenomen in de Angler-exploitkit, wat er op wijst dat de bug een kwaadwillende malware laat installeren. Exploitkits worden door aanvallers gebruikt om op grote schaal malware te installeren, bijvoorbeeld adware of ransomware. De exploitkits kunnen bijvoorbeeld via malafide advertenties de malware op pc's van gebruikers krijgen.

Reacties (71)

derkesthai 22 januari 2015 15:36

En niemand heeft het er over dat Firefox ook in het lijstje staat

Teijgetje

Microsoft Windows 8 NL

@derkesthai • 22 januari 2015 16:18

Zelfs de redactie had nog niet genoeg "kafeine" op om het te melden.
Als je de bron leest dan is inderdaad meer kwetsbaar dan alleen MS`s IE.

Quote T.net;
De kwetsbaarheid is volgens Kafeine opgenomen in de Angler-exploitkit

Quote Kafeine;
Note : This exploit is not being used in all Angler instancess.
en;
Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled.
.Know that Firefox last version is owned as well
en;
So the payload I got is Bedep which can have one or both of this functions : AdFraud, Malware loading.

This familly is the child of the group behind Angler EK and Reveton (and is fast replacing Reveton in many distribution path - We have seen this Ransomware -> AdFraud transition with Kovter as well, where some do Ransomware -> Banking (as did Qadars group) ) .

Maar goed, goed dat Kafeine "zijn kaken stijf op elkaar houdt" tot het gedicht is.
Daar kunnen sommige anderen een puntje aan zuigen.

[Reactie gewijzigd door Teijgetje op 23 juli 2024 02:13]

derkesthai @Teijgetje • 22 januari 2015 16:25

Haha, bedankt voor het uitzoekwerk

Ik word zelf (als M$ fanboy, ik kan er niets aan doen) een beetje moe van dat IE gezemel de hele tijd, dus fijn dat het ook af en toe gerelativeerd wordt.

Vexxon @Teijgetje • 22 januari 2015 17:04

En aangepast wordt het ook niet...

Teijgetje

Microsoft Windows 8 NL

@Vexxon • 22 januari 2015 17:13

Tja een artikel half wijzigen.....dan kloppen de reacties niet meer en krijg je overal reacties op als "maar dat staat er toch niet? en replies als "het artikel is inmiddels aangepast""
(levert wel meer hits op natuurlijk.

)
Dat doet Kafeine ook namelijk, updaten, vandaar de misverstanden misschien.
(zo heeft hij het eerst over een aanval door Angler EK waar hij even later zegt dat de exploit niet voorkomt in alle Angler gevallen?
En was 8.1 + IE11 veilig maar nu zijn alle browsers met Flash enabled vulnerable.)

Misschien moeten we "This family (Bedep) is the child of the group behind Angler EK en Reveton" ook maar vast vertalen.....

Het (Bedep) is dus ontwikkeld door diezelfde groep die achter Angler EK en Reveton zit, het is geen kind van Angler.

[Reactie gewijzigd door Teijgetje op 23 juli 2024 02:13]

coolbvrobin 22 januari 2015 15:22

Ik gebruik internet explorer 11..
Maar het is niet uit te sluiten dat internet explorer de enigste browser is, waarbij het mogelijk is.
Maar voor een zero-day kwetsbaarheid flash uit te schakelen vindt ik wat over dreven.
Gewoon opletten welke sites je gebruikt en regelmatig scannen met hitman pro etc, lijkt mij voldoende.
Maar de oorzaak licht hier toch echt bij adobe. die hun software niet goed getest heeft.
Maar ik ga er van uit dat adobe dit patch binnen een aanzienbare tijd.

[Reactie gewijzigd door coolbvrobin op 23 juli 2024 02:13]

CMD-Snake @coolbvrobin • 22 januari 2015 15:32

Ik gebruik internet explorer 11..
Maar het is niet uit te sluiten dat internet explorer de enigste browser is, waarbij het mogelijk is.

Over Firefox wordt niet gesproken in het artikel, dus die kan mogelijk ook kwetsbaar zijn. IE11 op Windows 8.1 is waarschijnlijk niet kwetsbaar omdat die een eigen ingebakken Flash heeft. Dat is niet de reguliere flash plugin die je moet downloaden als geen Windows 8(.1) hebt.

Gewoon opletten welke sites je gebruikt en regelmatig scannen met hitman pro etc, lijkt mij voldoende.

Het probleem is dat nu advertenties misbruikt worden om virussen te serveren. Bekende sites als Nu.nl, Wehkamp en Marktplaats hebben allemaal al een keer het nieuws gehaald omdat via de advertenties op hun sites malware geserveerd werd. Stuk voor stuk dus allemaal normale, betrouwbare websites maar dankzij de ad server allemaal bronnen van malware geworden.

Beter is dan nog om iets als EMET 5.1 te installeren om exploits te stoppen. En eventueel een adblocker om misbruik via reclames tegen te houden.

Verwijderd @CMD-Snake • 22 januari 2015 16:22

TL:DR Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled.
bron: http://malware.dontneedco...bility-0day-in-flash.html

Firefox en IE zijn beide kwetsbaar.

coolbvrobin @CMD-Snake • 22 januari 2015 15:47

Over Firefox wordt niet gesproken in het artikel, dus die kan mogelijk ook kwetsbaar zijn. IE11 op Windows 8.1 is waarschijnlijk niet kwetsbaar omdat die een eigen ingebakken Flash heeft. Dat is niet de reguliere flash plugin die je moet downloaden als geen Windows 8(.1) hebt.

Volgens het artiekel staat redelijk veilig.
Dus ik neem aan niet helemaal

Beter is dan nog om iets als EMET 5.1 te installeren om exploits te stoppen. En eventueel een adblocker om misbruik via reclames tegen te houden.

Adblock die draai ik zo wie zo al. Want helaas zonder is tegenwoordig ook een redelijk risico.
Ofc op tweakers staat hij uit.

[Reactie gewijzigd door coolbvrobin op 23 juli 2024 02:13]

Verwijderd @coolbvrobin • 22 januari 2015 16:48

Malwarebytes Anti-Exploit beschermt tegen dit lek zo valt te lezen in het artikel van Kafeine: https://www.malwarebytes.org/antiexploit/

As I want to thanks them for their Trust, I will shamelessly tell you that I tested it against the free version of Malwarebytes Anti Exploit (a product from one of my customer). They stopped it. Well done !
bron: http://malware.dontneedco...bility-0day-in-flash.html

anboni @CMD-Snake • 22 januari 2015 15:59

Flash werkt natuurlijk anders op Firefox dan op IE (volgens mij zijn er ook verschillende installatiepakketten voor, of die waren er vroeger tenminste). Kan dus best zijn dat het inderdaad een combi is van flash+ie

desalniettemin @anboni • 22 januari 2015 20:29

Apart voor IE en Fx nog steeds ja

Verwijderd 22 januari 2015 15:57

Kunnen ze niet gewoon met flash stoppen? Volgens mij heeft jobs dit een jaar of 7 geleden erg goed bekeken. Het zit altijd vol bugs het werkt niet vloeiend en weinig mensen maken er nog gebruik van.

Johan9711 @Verwijderd • 22 januari 2015 16:19

Ik noem er een paar:
Fifa UT web app
NPO
Tweakers.net

Belgar @Johan9711 • 22 januari 2015 16:30

Das grappig. ik heb geen flash en nooit gemist op tweakers.net ...

laptopleon @Verwijderd • 22 januari 2015 16:59

Hoewel er al jaren een HTML5 versie is, die in kan stellen als voorkeur, is Flash nog steeds de standaard methode op YouTube. Dus zo weinig zijn het nou ook weer niet. Iedereen die het niet zelf anders instelt kijkt vanaf zijn desktop via Flash naar video's en ads. De reden dat dit zo is, is omdat wereldwijd nog steeds veel oude browsers worden gebruikt, die geen HTML5 ondersteunen. Ook heeft HTML5 nog een aantal beperkingen. Zover ik na kan gaan ondersteunt HTML5 bijvoorbeeld nog steeds geen live video streaming.

jeroen7s @laptopleon • 22 januari 2015 21:11

in chrome word tegenwoordig al langer HTML5 als default gebruikt hoor, ook zonder dit in te stellen op youtube

laptopleon @jeroen7s • 23 januari 2015 00:56

Youtube en Chrome zijn allebei van Google dus dan kan Google zoiets onopvallend doen, maar zelfs Chrome heeft nog steeds standaard de Flash player aan boord. En die wordt automatisch geüpdate, volgens adobe.com. Dat zegt iets over hoe de stand van zaken ten opzichte van HTML5.

Ga je bijvoorbeeld naar NPO.nl dan gebruikt Chrome ook gewoon weer de Flash player.

Begrijp me goed, ik ben ook kritisch over hoe Adobe de zaken aanpakt met Flash, maar het is wel een diep gewortelde standaard en dat is ook wat waard. Dat verklaart waarom Flash nog zoveel gebruikt wordt. Als aanbieder én gebruiker wil je een degelijke standaard, niet zoiets als Silverlight dat na paar jaar alweer dood verklaard wordt.

Dat een groot deel van het tweakers publiek zonder kan, wil nog niet zeggen dat Flash binnen een jaar uitgebannen is. Globaal gezien blijven veel mensen nou eenmaal net zo lang hangen in hun oude (pre-HTML5) browser tot hun computer het begeeft.

Argantonis @Verwijderd • 22 januari 2015 23:29

Kunnen ze niet gewoon met flash stoppen? Volgens mij heeft jobs dit een jaar of 7 geleden erg goed bekeken. Het zit altijd vol bugs het werkt niet vloeiend en weinig mensen maken er nog gebruik van.

Zou mooi zijn. Moeten ze wel even snel zorgen dat je dan nog kan internetbankieren bij Nationale Nederlanden, om ook maar een voorbeeld te noemen.

Mijnenveger 22 januari 2015 14:47

Daarom gebruik ik Chrome. Alles draait binnen een sandbox dus mooi veilig.
Tuurlijk kan daar ook een beveiligingslek inzitten, maar chrome heeft regelmatig update's waarin ze vele lekken dichten.

[Reactie gewijzigd door Mijnenveger op 23 juli 2024 02:13]

Verwijderd @Mijnenveger • 22 januari 2015 14:51

En in tegenstelling tot echte malware, heeft google ook een redelijk reclame beleid. Je krijgt een 18+ reclame, geen pop-ups, en doordat ze goed op alle mogelijke manieren bijhouden waar je interesses liggen, krijg je ook vooral advertenties geserveerd die relevant zijn.

Voor de niet Chrome gebruikers, als je je veiligheid en privacy wilt gebruiken, is het verstandig adobe flash gewoon standaard uit te zetten, en alleen te activeren voor pagina's die je kent, en waar het nodig is.

LongBowNL

@Verwijderd • 22 januari 2015 14:57

Of je kunt gebruik maken van Anti Exploit kits zoals Malwarebytes Anti-Exploit of SurfRight HitmanPro.Alert (versie 3).

vali @LongBowNL • 22 januari 2015 15:21

Niet alleen dat, gebruik maken van EMET 5.05.1 zorgt er dat vele exploits getakeld worden. Het installeren van een goede adblocker doet ook wonderen

Ik vind het daarbij een erg snelle conclusie van tweakers om dit te melden:

In ieder geval Internet Explorer-gebruikers op Windows-versies eerder dan 8.1 zijn kwetsbaar; Chrome-gebruikers zijn veilig.

Als je zijn exploits doorneemt zie je nergens Windows 7 of windows8.1 met Internet Exlorer 11 er tussen staan.

Exploited :
- Windows XP, Firefox 35, Flash 16.0.0.287
Mozilla/5.0 (Windows NT 5.1; rv:35.0) Gecko/20100101 Firefox/35.0
[/Edit : 2015-01-22]
- Windows XP, IE6 to 8 obviously. Flash 16.0.0.257
- Windows XP, IE6 to 8 Flash 16.0.0.287 - 2015-01-22 (replayed in lab environnement) :
- Windows 7, IE8 , Flash 16.0.0.257 :
UA : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
- Win 8 IE10 with Windows8-RT-KB3008925-x86 (Flash 16.0.0.235) -
UA : Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0)
- Win8 IE10 all updates (Flash 16.0.0.257)

Bij Internet Explorer 11 draait ook alles in een sandbox, dus misschien is het verstandig om iets meer uit te zoeken voordat het artikel geposted wordt? Voordat er weer een drama ontstaat zoals een tijdje geleden op het NOS nieuws? Uiteindelijk bleek iedere browser toen vatbaar te zijn

[Reactie gewijzigd door vali op 23 juli 2024 02:13]

batjes

Besturingssystemen
Microsoft Windows
Microsoft Windows 7 Ultimate
Microsoft

@vali • 22 januari 2015 15:39

MS zelf geeft overigens wel aan dat het zelfs voor Windows 8.1 een critical update is. Elke IE sinds 6 word ook genoemt.

This security update is rated Critical for Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8 ), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), and Internet Explorer 11 (IE 11) on affected Windows clients

https://technet.microsoft.com/library/security/ms14-021

De Protected mode van IE, die 'verbeterde' sandbox, draait alleen op IE11 default op Windows 8.1 installaties. Windows 7 en 8.0 draait zonder en die zijn wel vatbaar.

[Reactie gewijzigd door batjes op 23 juli 2024 02:13]

vali @batjes • 22 januari 2015 15:42

Dat is een posted uit mei 2014??

batjes

Besturingssystemen
Microsoft Windows
Microsoft Windows 7 Ultimate
Microsoft

@vali • 22 januari 2015 15:42

Dan heb ik de verkeerde gepakt, daar kwam ik op uit via een bericht van 2 dagen terug x.x
nvm dan

[Reactie gewijzigd door batjes op 23 juli 2024 02:13]

Verwijderd @vali • 22 januari 2015 15:32

{offtopic}
EMET is versie 5.1. http://www.microsoft.com/...onfirmation.aspx?id=43714

vali @Verwijderd • 22 januari 2015 15:33

Je hebt gelijk, ze zitten op 5.1 alweer

DonLexos @LongBowNL • 22 januari 2015 16:26

Ja of beter, je doet het niet op browser niveau met een plugin die de advertenties verstopt maar je blokkeert de crap gewoon op host(file) niveau.:
http://someonewhocares.org/hosts/hosts

trogdor @Verwijderd • 22 januari 2015 14:57

Flash, nodig ?
Ik ben benieuwd. Dat voor sommige toepassingen java nodig is, okay, maar flash?

kozue

Besturingssystemen

@trogdor • 22 januari 2015 18:09

Java is net zo min nodig als flash. Beide heb ik al een flinke tijd niet meer geinstalleerd staan en het bevalt me prima

eaxebx @Mijnenveger • 22 januari 2015 15:50

Enkel de exploit uitvoeren met daarin reguliere malware ben je inderdaad veilig, maar vergeet niet dat er vaak andere exploits gecombineerd kunnen worden om te ontsnappen uit de sandbox van Chrome.

Er wordt code uitgevoerd binnen de sandbox, de truc is nu nog om uit de Sandbox te komen, en dat kan makkelijker zijn dan dat men denkt. Virtualiseren is ook niet zo veilig als men denkt. Denk bijvoorbeeld aan VMWare, een virus kan hiervoor ook in theorie een exploit misbruiken om de host PC te infecteren.

akooijman @Mijnenveger • 22 januari 2015 16:48

'waarin ze vele lekken dichten' lijkt nogal in tegenspraak met 'mooi veilig' ?

trogdor @Mijnenveger • 22 januari 2015 14:55

Daarom gebruik ik geen flash (en heb dat ook niet geinstalleerd).

Johan9711 @trogdor • 22 januari 2015 16:17

Wat een vreemd argument. Er gebeuren op straat ongelukken, dus ik kom niet op straat.
Ik gebruik zelf Waterfox, dat is dus wel risky. Toch maar even met whitelists gaan werken dus.

eaxebx @Johan9711 • 22 januari 2015 16:40

Vind het anders best een goed argument.

Flash heeft wel vaker zero day exploit's gehad, en als de persoon zich daardoor bedreigt voelt vind ik dat best een goede reden om het niet te gebruiken. Al helemaal nu er tegenwoordig veiligere maar ook betere alternatieven zijn.

Het is dat ik voor YouTube af en toe nog Flash nodig heb, maar anders had ik het er ook afgegooid. Al helemaal als ik het verder nergens voor nodig heb. Waarom zou ik het installeren als ik het niet nodig heb?

cracking cloud @Johan9711 • 23 januari 2015 10:20

Whitelists voor sites, of wat anders?
Want in principe is elke site potentieel een risico, bv nu.nl met z'n banners.

desalniettemin @trogdor • 22 januari 2015 20:27

Nou als ik american football wil kijken dan heb ik het toch echt nodig, anders kan ik het mooi niet zien.

Ultimation @Mijnenveger • 22 januari 2015 15:23

Ik gebruik OSX. Dan draait Chrome in een sandbox welke Flash ook weer in een sandbox draait.

2Dutch 22 januari 2015 14:53

Goed dat het deze keer nog even stilgehouden wordt zodat er niet nog meer ellende ontstaat.
Maar wat zal ik blij zijn als Flash..resourcehoggende meuk.. eindelijk eens met pensioen gaat. Kunnen de malware-muppets een ander softwareslachtoffer gaan zoeken die leuke bugs heeft om te abusen

Gelukkig was ik te lam om vandeweek deze update te installeren op mijn gamebak, it paid off for once

DedSec85 22 januari 2015 15:07

Toch maar even snel de komende update installeren. Had toevallig gisteren de laatste versie geïnstalleerd om gebruik te maken van de VMWare web client. Daarnaast mag Flash van mij helemaal afgeschaft worden. Is tegenwoordig met HTML5 ook amper meer nodig naar mijn idee.

Verwijderd 22 januari 2015 16:20

Wat is het probleem op RT Windows versies? Deze versie gemaakt voor ARM processors wijkt namelijk flink af van de normale versie aangezien er geen normale exe bestanden kunnen worden uitgevoerd. Het is lastig om dan succesvol malware te installeren.

Johan9711 @Verwijderd • 22 januari 2015 16:24

Malware kan ook gewoon een .bat zijn...

Synthiman 22 januari 2015 16:34

Tip Firefox: Onder add-ons > Plug-ins, zet Shockwave Flash uit; "Never activate", of op "Ask to activate".

Herstart Firefox en test hier of de instelling werkt: https://www.adobe.com/nl/software/flash/about/

Verwijderd 23 januari 2015 10:13

De exploitkits kunnen bijvoorbeeld via malafide advertenties de malware op pc's van gebruikers krijgen.

Precies de reden dat ik zonder uitzondering een ad-blocker gebruik. Sorry tweakers!

Xsion 22 januari 2015 14:48

Internet Explorer 11 is ook geen issue

acemoo @Xsion • 22 januari 2015 15:02

Ik kan deze informatie niet vinden in de link dat tweakers geeft. Waar haal je deze informatie vandaan?

batjes

Besturingssystemen
Microsoft Windows
Microsoft Windows 7 Ultimate
Microsoft

@acemoo • 22 januari 2015 15:35

IE11 in protected mode is hier niet fatbaar voor, maar dit is alleen vanaf 8.1 default, vandaar zoals in het artikel ook aangegeven word dat 8.1 niet vatbaar is.
Met Protected mode, of voor IE10, Enhanced Protection mode, is ook IE10 niet vatbaar voor deze exploit.

Of EMET 4.1/5.0 draaien.

Elke tweaker of fatsoenlijk opgezet bedrijfs netwerk zou hier dus niet fatbaar voor moeten zijn met IE10-11.

Jan Ham @batjes • 22 januari 2015 16:43

niet fatbaar

Zijn ze dan misschien wel NTFSbaar?

batjes

Besturingssystemen
Microsoft Windows
Microsoft Windows 7 Ultimate
Microsoft

@Jan Ham • 24 januari 2015 14:53

hehe, ik dacht dat ik die typo aangepast had maar heb ik het nog een keer getypoed

anargeek @acemoo • 22 januari 2015 15:37

Er staat bij Safe het volgende:
- Win 8.1 full updated : the bullet is not fired but a smaller landing and a flash which is (to be confirmed) CVE-2014-0322 helper I think.
UA : Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko

Dat betekent dat IE11 op Windows 8.1 veilig is (voor zover ik het begrijp). IE11 op andere besturingssystemen worden door dhr. Kafeine niet bevestigd of ontkend

[edits: veel spelfouten zeg]

[Reactie gewijzigd door anargeek op 23 juli 2024 02:13]

Op dit item kan niet meer gereageerd worden.

Aanvallers misbruiken zero-day-kwetsbaarheid in Flash

Lees meer

Reacties (71)

Sorteer op:

Weergave: