Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 102 reacties
Submitter: Iekozz

Er is opnieuw een kwetsbaarheid in Flash onthuld die is ontdekt door het Hacking Team. Het is het tweede lek dat in korte tijd op internet wordt gepubliceerd. Het gaat om een zero day-kwetsbaarheid, waardoor gebruikers waarschijnlijk risico lopen.

Een Indiase hacker meldde de vondst op Twitter en publiceerde de kwetsbaarheid op Pastebin. Wie geïnteresseerd is in de details moet een zip-bestand downloaden. Of en in welke mate de bewuste bug in de praktijk wordt misbruikt door aanvallers is niet bekend. Wel is duidelijk dat Flash-gebruikers op zowel Windows, Linux als OS X risico lopen, al zouden Windows-gebruikers met Firefox en Chrome immuun zijn. Ook de laatste build van Windows 10 met de Edge-browser zou geen gevaar lopen.

Adobe heeft op zijn website bekendgemaakt dat het weet van het lek in zijn software. Naar verwachting wordt er volgende week een patch uitgebracht voor Flash. Zelf omschrijft de softwaremaker de gepubliceerde kwetsbaarheid als een 'critical vulnerability'.

Het gaat om de tweede gepubliceerde zero day-kwetsbaarheid in Flash die in korte tijd is gepubliceerd. De eerste kwam eerder deze week uit, maar werd toen al snel gepatcht door Adobe. Deze bug zou in drie exploit-kits zijn te vinden, met de namen Angler, Neutrino en Nuclear. Afnemers van deze kits kunnen zonder veel moeite malware injecteren in de pc's van anderen. Daardoor is aannemelijk dat dit lek wel actief werd misbruikt.

Zowel de eerste als de tweede bug komt uit de inventaris van het Hacking Team. Deze organisatie speurt naar exploits in software om daar vervolgens hack-kits omheen te bouwen. Die verkopen zij vervolgens aan anderen, bijvoorbeeld overheden. Het bedrijf ligt daarom al langer onder vuur, onder meer omdat het zaken doet met dubieuze regimes. De door het Hacking Team gevonden exploits zijn naar buiten gekomen omdat de organisatie zelf is gehackt, waarbij 400GB aan bestanden zijn buitgemaakt.

Moderatie-faq Wijzig weergave

Reacties (102)

voor dit kan je momenteel de trial van malwarebytes anti exploid gebruiken, die houden dit wel tegen
HitmanPro.Alert 3 blokkeert ook deze tweede 0-day exploit van HackingTeam. Hier een filmpje waarin Internet Explorer, Firefox en Chrome langskomen:
https://www.youtube.com/watch?v=Fxf_BizhPpU
ff en chrome op windows zijn sowieso beschermd.
Firefox beschermd niet. De eerste exploit kit (Angler EK) heeft reeds de aanval op dit nieuwe zero-day lek geopend. Onderzoeker Kafeine heeft een succesvolle aanval op Firefox opgenomen en beschikbaar gesteld: http://malware.dontneedco...ingteam-0d-two-flash.html
Dat is niet zo'n heel sterk argument. Het enige dat Firefox en Chrome beschermt is de aanwezigheid van een sandbox. Echter heeft HackingTeam ook een zero-day exploits voor de windows kernel uit laten lekken waardoor het als nog mogelijk is om uit de sandbox van FF/Chrome te breken.
Ook bij hitman en andere oplossingen is niets gezegd over de combi met andere exploits. Dus voor deze exploit alleen, voegt hitman niets toe (voor chrome/ff gebruikers op windows) en voegt het mss iets toe als er een gecombineerde aanval opgezet wordt.
Mijn verontschuldiging, natuurlijk voegt HMP.Alert ook bescherming toe aan Chrome en Firefox. Wat ik bedoelde is dat - zonder HMP.Alert/EMET/Anti-Exploit - je nog een aparte EoP exploit moet gebruiken om langs de sandbox te komen.
De vraag is nu alleen, detecteerde HitmanPro dit al voordat de CVE bekend was?
HitmanPro.Alert heeft geen update gehad en werkt zonder signatures.
Kan iemand dit bevestigen? En hoe zit het dan met EMET? Die laatste is namelijk gratis!
EMET beschermt tegen deze exploit net zoals bij de vorige zero-day. Echter is het verstandiger om niet alleen maar op EMET te vertrouwen.

Het uitzetten van Flash in je browser en het gebruiken van een browser die een sandbox bevat (zoals Google Chrome) zijn twee andere belangrijke maatregelen die je kan nemen.
Net even uitgeprobeerd, maar er start geen calculator bij mij vanuit Firefox.
Dat staat toch in de documentatie?
Open the test "calc.htm" file in your browser and press the button.

on Windows:
Calc.exe should be popped on desktop IE.
Calc.exe should be run as a non-GUI child process in metro IE.
Payload returns 0 from CreateProcessA("calc.exe") inside Chrome/FF sandbox.
You can run Chrome with the --no-sandbox switch to pop the calc.
Output van Firefox (op Windows)
Flash: WIN 18,0,0,194 x86-32 PlugIn
OS: Windows 8.1 64-bit
Platform: Win32
Browser: Netscape (Mozilla/5.0 (Windows NT 6.3; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0)
===== start =====
MyClass.valueOf1()
ar[0][198] = 1
32-bit player detected
Attempt #1
MyClass.valueOf2()
ar[57].length = 0x6a
ar[57][0x62] = 0x62
v.length = 0x40000000
v address = 0x3dba4d8
gc address = 0x2b22000
vo address = 0x39b810c
payload address = 0x2b7b1b8
VirtualProtect address = 0x75d18ab0
CreateProcessA() returns 0 (in sandbox)
v.length = 0x62
===== end =====
Klopt inderdaad, dus een (groot) deel van de gebruikers is veilig, tenzij ze natuurlijk een combinatie gebruiken van andere exploits...

Sowieso gaat het bij mij niet werken omdat flash pas activeert na een klik bij mij :)
Zelfs in IE11 werkt het niet. Krijg in geen van de 3 browsers een calc. Slechts een Error. Try again.
Firefox lijkt inderdaad niet te werken, Internet Explorer lijkt in elk geval wel te werken.
Is er dan niemand geweest bij Adobe (of een ander bedrijf met inzicht in security) die de moeite heeft genomen om de 400GB aan documenten te downloaden en daar even een quickscan overheen te gooien op keywords *adobe* , *flash* , *activex* of iets dergelijks?

We zijn pas een week verder sinds Hacking Team onderuit werd geschoffeld en al hun mooie/diepgaande werk openbaar is gemaakt dus het lijkt me niet ondenkbaar dat van een aantal exploits het gewoon mogelijk is geweest dat de originele fabrikanten (zoals Adobe) of de bestrijders (zoals een Kaspersky) allang tegenmaatregelen hebben kunnen treffen.
Wel eens 400GB aan niet-geindexeerde data in verschillende formaten doorzocht? Dat doe je niet "eventjes met een quickscan".
Dat is opvallend; ik kan zonder enige last/vertraging mijn NAS doorzoeken (bijna 3TB aan data) met Notepad++ en dan eenvoudigweg zoeken op *aa* in alle bestanden. Gewoon over Gbit en verder normale consumenten-apparatuur, duurt het minder dan een uur voordat alles gescand is.

Dat sommige bestanden eerst uitgepakt moeten worden ofzo (zoals een TAR of een ISO), lijkt me evident maar ook dat kan je scripten middels elke standaard taal zoals een PowerShell of een BASH-script.
Duh, notepad++ zal alleen in bestanden die het kan lezen zoeken, en dus een hoop overslaan of niet vinden, zoals data in pdf of eml bestanden. Zou kan ik mijn Nas ook snel doorzoeken, 99% van de data zijn niet doorzoekbare filmbestanden.
Duh, notepad++ zal alleen in bestanden die het kan lezen zoeken, en dus een hoop overslaan of niet vinden,
Het was slechts een voorbeeld. Als notepad++ de bestanden in een uur kan doorspitten, moet een groot bedrijf met meer technieken die luizige 400 GB in een week kunnen doorzoeken. Dat is het idee.

En ook filmbestanden zijn doorzoekbaar.
Het was slechts een voorbeeld.
Het is meer dan dat, het is totale onzin. 3 Terabyte aan data staat gelijk aan 3x8x1000=24000 gigabit. Met een 1Gbit/sec netwerk verbinding is het niet eens mogelijk dat binnen een uur over een netwerk te verplaatsen, dus is het ook niet door Notepad++ te doorzoeken.
Stelling blijft dat Adobe echt wel 480 GB kan doorspitten in een week.
Is er dan niemand geweest bij Adobe (of een ander bedrijf met inzicht in security) die de moeite heeft genomen om de 400GB aan documenten te downloaden ...
Aldus MAX3400
Oh wauw zeven uur maar liefst. Het gaat om het punt dat je met consumenten elektronica redelijk eenvoudig binnen een dag 3tb kan doorzoeken. Als consument.

Adobe heeft echt wel veel beter apparatuur die ws meerdere 10Gbit netwerken gebruiken via koper al dan niet glas. Zij moeten 400gig makkelijk in een dag volledig kunnen scannen met de resources die ze hebben. Kunnen ze dat niet dan heb ik ook niet echt meer vertrouwen in het hele photoshop in de cloud gebeuren aangezien dat vele malen meer aan bandbreedte vereist.
Dan nog, het is altijd verstandiger om alles goed door te zoeken, voordat je iets alweer over het hoofd ziet, wat nu weer is gebeurt bij Adobe.

Of ze wisten het gewoonweg niet, kan ook het geval zijn.
MAX3400 heeft het dan ook over een eerste Quick scan.
Wat bedoel je met niet-geindexeerd? Met een grepje kom je toch best ver zou ik denken.
Grep werkt leuk als het platte tekst bestanden zijn, maar je hebt er weinig aan als het om pdf, doc, eml of andere binaire opslagformaten gaat.
Voor zover we weten is Adobe daar effectief mee bezig en willen ze verdere vulnerabilites stilletjes oplossen in komende patches.

Je begrijpt dat ze niet staan te springen om hun eigen product onderuit te halen door een waslijst van exploits publiek te gooien en daarbij hun tijd om te reageren flink in te perken.
Flash zit natuurlijk al keihard in de uitfaserings-fase, door het gebrek aan ondersteuning op alle mobiele devices. Dat neemt niet weg dat er nog steeds extreem veel content leveranciers niet zijn overgestapt op HTML5 oid als alternatief. Je ziet dit vooral erg veel in de e-learningwereld.
Flash werkt prima op Android, hoor! Maar het is waar dat het niet meer op alle besturingssystemen werkt en (hopelijk) snel zal verdwijnen.
Sinds Jelly Bean(?) werkt het zo goed als niet meer. Soms nog met oude .apks maar met Lolliop is het zeker over
Je moet het inderdaad handmatig installeren. Met Lollipop heb ik nog geen ervaring, ook omdat Xposed er nog niet 100% op draait en ik niet zonder zou willen. Maar voor zover ik weet werkt Flash ook prima onder Lollipop, als je Dolphin Browser gebruikt.

[Reactie gewijzigd door Cerberus_tm op 13 juli 2015 05:13]

Door een tweede en wellicht binnenkort derde, vierde maal in het nieuws te komen van alle grote media (vol met IT-noobs) zijn ze anders goed bezig om flash onderuit te halen :)
Volgens mij was flash al jaren geleden onder uit gehaald toch? Ik draai al twee jaar geen flash meer ofzo.
mi is dat nog niet zo voor Jan met de pet. Maar als de corporate media nu wekelijks gaan melden dat er een kritisch lek gevonden is in Flash kan dat wel eens veranderen. Vroegere lekken haalden de standaard-media nooit en was het enkel de nerd om de hoek die er tegen evangeliseerde.
En wie zegt dat adobe dat ook niet heeft gedaan? Exploits zijn niet altijd even simpel te fixen en kosten tijd om te fixen en testen..
We hebben het hier over Adobe.

Datzelfde bedrijf dat geen haast heeft met het uitbrengen van beveiligingsupdates voor Adobe Reader in andere talen dan US Engels.

[Reactie gewijzigd door fridgeman op 11 juli 2015 21:02]

Met het publiceren van al deze exploits worden onze computers veiliger. Softwaremakers worden zo gedwongen updates uit te brengen voor deze exploits. Dus ik hoop dat er nog vele exploits gepubliceerd worden, liefst wel nadat er een fix voor is uitgekomen.

Gaan we ook software krijgen die de software van hacking-team kan detecteren en verwijderen?

Edit: als ik het bestandje pastebin download grijpt microsoft security essentials gelijk in, this file contains a virus and is deleted. :)

[Reactie gewijzigd door Rudie_V op 11 juli 2015 10:29]

Met het publiceren van al deze exploits worden onze computers veiliger. Softwaremakers worden zo gedwongen updates uit te brengen voor deze exploits. Dus ik hoop dat er nog vele exploits gepubliceerd worden, liefst wel nadat er een fix voor is uitgekomen.
Dat is een beetje naieve opmerking. Je zorgt er alleen maar voor dat andere gebruikers in de problemen raken als je broncode voor zero-days online publiceerd.
Iedere keer dat er exploit code zoals deze uitlekt kan je er vanuit gaan dat exploit kits hem binnen een dag hebben opgenomen in de EK. In dat geval is een grootschalige aanval mogelijk tegen een ongepatchte kwetsbaarheid.
Wat is er moeilijk te begrijpen aan het stukje:
..., liefst wel nadat er een fix voor is uitgekomen.
?

En nee, de opmerking is niet naief, want de data die met de hack bij hacking-team is verkregen leg al op straat, dus hackers en exploit-kits spitten die data ook gewoon door op zoek naar exploits om die te misbruiken. Hoe meer exploits de publiciteit in komen hoe meer software makers gedwongen worden, mits ze dat al niet doen, om updates uit te brengen voor de exploits.
De vorige zero-day flash exploit van 3 dagen geleden werd ook al in 3 exploit-kits gebruikt, dus dat geeft al aan dat hackers en exploit-kits ook de data aan het bekijken zijn naar nuttige exploits. Dus hoe meer publiciteit aan exploits, hoe meer druk op de software makers om updates uit te brengen, de hackers en exploit-kits gaan echt niet wachten hoor.

nieuws: Aanvallers misbruiken ongepatcht Flash-lek van Hacking Team - update
Naast het feit dat veel van de exploits waarschijnlijk al lang bekend zijn in de hackingcommunity..... Ook van deze gepubliceerde exploits ga ik er van uit dat ze in werkelijkheid al langer bekend zijn...
Edit: als ik het bestandje pastebin download grijpt microsoft security essentials gelijk in, this file contains a virus and is deleted. :)
Als je de inhoud van het ZIP-bestand gewoon op een webserver zet en dan de betreffende HTM dus zou openen omdat je met je browser op die webserver komt, grijpt MSE niet in.

Natuurlijk grijpt een AV-pakket nu (hopelijk) in; de code is al malicious maar het is dan ook een PoC en geen daadwerkelijke aanval op jouw machine.
Ik draai IE11 met alle updates en EMET, maar als ik op die knop drukt voor de exploit greep EMET in "EMET detected EAF mitigation and will close the application: IEXPLORE.EXE".
Bij het vorige lek m'n Flash uitgeschakeld en sindsdien eigenlijk verstomd over hoe weinig websites nog echt Flash nodig hebben... Denk dat ik 'm maar gewoon uit laat staan.
Twitch gebruikt nog steeds Flash...dat zijn toch een paar miljoen mensen die het nog nodig hebben. Youtube gaat wel beter nu, ik had nog een aantal bookmarked video's die een tijdje geleden alleen met Flash werkten maar die spelen nu wel af zonder Flash.
Twitch kun je in IE en Safari aan de praat krijgen via HLS. Gewoon /hls achter het adres van het kanaal zetten in de adresbalk. Werkt alleen niet in Chrome en Firefox heb ik niet getest.
VLC met Livestreamer werkt voor Twitch en andere streamingdiensten.
Ja, ik was hetzelfde aan het overwegen. Anno 2015 is het meeste van belang overgenomen door HTML5. Dus ik gooi flash er inderdaad ook maar eens vanaf.
Ik heb Flash van de week maar helemaal verwijderd. Teveel updates nodig om het veilig te houden en iedere keer weer proberen ze weer software op te dringen.
Tenzij je een systeem zonder h.264 gebruikt, dan krijg je maar al te vaak een melding dat flash/h264 nodig is (bijvoorbeeld hier op tweakers). Youtube heeft dan wel filmpjes in VP8 maar die zijn vaak enkel beschikbaar in lage resolutie

[Reactie gewijzigd door Blokker_1999 op 11 juli 2015 18:29]

Weer lekker vooruitstrevend van een website die beweert technologie op de proef te stellen. :/

[Reactie gewijzigd door fridgeman op 11 juli 2015 21:05]

Heb het inmiddels al een jaar of twee uitstaan. Komt zelden voor dat ik chrome moet starten ivm flash. Heerlijk rustig, geen irritante reclames die over je hele scherm springen.

Flash is allang gedateerd en uitgefaseerd. De meeste sites zijn inmiddels allang over.
Waarom heet dit een zero day-kwetsbaarheid in Flash?
Een zerodayattack (of nuluren- of nuldagenaanval, -aanslag of -dreiging) is een computerdreiging die probeert misbruik te maken van zwakke delen in software welke onbekend zijn voor anderen of de softwareontwikkelaar. Zero-day-exploits is software die gebruikmaakt van een daadwerkelijk gat in de beveiliging voor het uitvoeren van een aanval. Deze worden gebruikt of gedeeld door aanvallers voordat de ontwikkelaars van de doelsoftware iets afweten van deze kwetsbaarheid.

De term is afgeleid van de leeftijd van de exploit. Een "zero-day"-aanval start op of vr de eerste dag dat de ontwikkelaar zich bewust is van het beveiligingslek, wat betekent dat de ontwikkelaar geen enkele kans heeft om een fix voor de software te distribueren naar gebruikers ervan.
(wikipedia)
Behalve dat er in nieuws tegenwoordig steeds 'zero day kwetsbaarheid' wordt gezegd, ipv zero day exploit. Elke kwetsbaarheid is zero day. Ze bestaan immers al voordat het bekend is. Zodra er voordat het publiekelijk bekend is een exploit voor is, is het zero day exploit.
"Deze organisatie speurt naar exploits"
Moet dit niet zijn: "Deze organisatie speurt naar vulnerabilities om daar vervolgens een exploit voor te schrijven" ;)

anyways....
dit is natuurlijk wel de huidige trend in cyber crime. Schrijven van zero day malware, die gebruik maakt van zero day kwetsbaarheden. Enige manier om je daar tegen te wapenen is proactief bestanden scannen op hun gedrag (sandboxing). En adobe software staat in de top qua aantal kwetsbaarheden dus sta hier niet van te kijken. Hopelijk zijn er security producten die deze kwetsbaarheid snel "patchen" middels IPS (zoals o.a. Check Point al deed voor de eerste variant).
Tja is wel makkelijk om adobe hier van te beschuldigen, tuurlijk staan ze in de top, immers wordt hun software heel erg veel gebruikt, ken eigenlijk geen andere plugin die zo algemeen gebruikt wordt/werd...
Ik heb flash volledig verwijderd van mijn computer en gedeactiveerd in Chrome. Het aantal sites dat weigert de werken is vrij beperkt(geen enkele die ik regelmatig bezoek). Ik kan het iedereen aanraden. Hoe meer mensen dit doen, hoe vlugger dit relict uit de jaren '90 zal verdwijnen :) .
Mijn moeder klaverjast altijd op spelpunt.nl en dan heb je echt flash en java nodig, anders is het onmogelijk om te spelen. Heeft de beta ook dit lek?
Ik heb toevallig gisteren Adobe Flash Player nog geupdate, maar is dat tegenwoordig nog nodig? Ik bedoel meer van is het programma berhaupt nodig als je geen internet spelletjes speelt? Want dat je goed op moet letten bij het updaten om McAfee en toolbars niet te installeren vind ik ook al ergerlijk en dan hoor ik nu ook nog eens dat ze er steeds gaten in hebben waar hackers misbruik van maken..
Flash wordt steeds minder 'noodzakelijk' voor een comfortabele browsingervaring. Flashanimaties zie je nauwelijks meer, HTML5 krijgt steeds meer mogelijkheden waaronder HTML embedded video. Er zijn echter nog een aantal grote (video)websites die het gebruiken.

Je kunt het eens een tijdje zonder proberen. Als je het toch niet kan missen dan kun je ook als tussenoplossing kiezen voor een 'click-to-play' oplossing als FlashBlock voor Firefox. Daarmee worden alle flash animaties geblokkeerd behalve degene die je aanklikt.
Die mensen van Adobe bakken er blijkbaar niets van, ongelooflijk slecht staaltje programmeren zeg. Ik kan er zo geen stats van vinden maar ik durf met droge ogen te beweren dat dat product zo'n beetje de meeste 0-days bevatte (en waarschijnlijk nog steeds) van alle software die ooit is gemaakt samen met Java.
Waarom dit nog gebruikt wordt en er niet een heel slimme kop iets nieuws bouwt is op zijn zachtst gezegd vreemd te noemen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True