Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties

In recente versies van Adobes Flash-player is een lek ontdekt. De exploit zou door malwareverspreiders inmiddels op grote schaal worden misbruikt voor het ongemerkt installeren van keyloggers.

Flash-logoHet lek is volgens Symantecs Securityfocus aangetroffen in Flash-versies 9.0.124.0 en 9.0.115.0. Adobe heeft in een korte verklaring laten weten op de hoogte te zijn van de bug en met malwarebestrijders samen te werken om de problemen in kaart te brengen.

Aanvallers gebruiken de zero day exploit inmiddels om met behulp van sql-injecties websites te laten doorverwijzen naar enkele Chinese domeinen waar malware in de vorm van Flash-scripts is geplaatst. Deze kwaadaardige code installeert vervolgens ongemerkt een keylogger. Inmiddels zouden volgens Symantec meer dan twintigduizend websites zijn besmet met scripts die gebruikers doorsturen naar de malwaresites.

Zowel Firefox- als IE-gebruikers zouden kwetsbaar zijn voor een aanval, maar het is vooralsnog onbekend of naast Windows ook andere besturingssystemen kwetsbaar voor de aanvallen zijn. Tot het lek is gedicht, wordt aangeraden om de domeinen wuqing17173.cn en woai117.cn te blokkeren. Verder verdient het volgens de beveiligingsonderzoekers van het US-Cert aanbeveling om Flash-content selectief te blokkeren, zoals bijvoorbeeld met de Noscript-addon voor Firefox, of om de plugin in zijn geheel uit te schakelen.

Update 30/5, 16:30: Na enig speurwerk van onder andere Cert blijkt dat bovengenoemde bug in de meest recente versie van de Flash-player, 9.0.124.0, al is gedicht. Adobe raadt iedereen aan om naar deze versie te upgraden.

Moderatie-faq Wijzig weergave

Reacties (67)

Je kunt het volgende aan je hosts-file (C:\Windows\System32\drivers\etc\hosts) toevoegen om de gewraakte sites te blokkeren:

127.0.0.1 wuqing17173.cn
127.0.0.1 woai117.cn
Je kunt het volgende aan je hosts-file (C:\Windows\System32\drivers\etc\hosts) toevoegen om de gewraakte sites te blokkeren:

127.0.0.1 wuqing17173.cn
127.0.0.1 woai117.cn
Let op dat je hiermee niet de gewraakte sites zelf blokkeert maar alleen de DNS entries. Indien een andere naam gebruikt wordt om de site aan te roepen (of direct via IP-adres) dan kan de exploit alsnog geïnstalleerd worden.

De (meer universeel aangeduide) locatie van het hosts-bestand is: %WINDIR%\system32\drivers\etc\hosts
"For Internet Explorer users, uninstalling Flash Player is the best remedy. Adobe offers a standalone uninstaller to remove the program. According to Symantec, setting the kill bit for ClassID d27cdb6e-ae6d-11cf-96b8-444553540000 until an update is available will also help to protect from attacks. IE users can also, however, block execution of Flash objects and consign the browser to a sandbox using the c't IE Controller (German language page) which should also work for English language users."

bron: heise-online

[Reactie gewijzigd door GetaGrip op 28 mei 2008 18:26]

"Well, I guess the game is on...... - The last massive SQL injection victimized over half a million websites! And this beast just got his wings."

bron: http://www.0x000000.com/

Altijd leuk om iemand heeeeeel technisch te zien doen ;)
Leuk en aardig allemaal, maar hoe weet je nu of je die keylogger hebt. Hoe heet dat ding, en zijn er al tools beschikbaar om te scannen?

Edit: ik gebruik trouwens al een tijdje dit: https://addons.mozilla.org/nl/firefox/addon/433

dus dat zit wel goed..

[Reactie gewijzigd door sander1001 op 29 mei 2008 00:22]

Ongemerkt bijvoorbeeld een keylogger installeren met een actieve virus scanner is volgens mij tegenwoordig bijna niet meer mogelijk hoor :)

Maar goed, zal wel even duren voordat Adobe deze bug eruit heeft en iedereen z'n flash player geupdate heeft.
Aangezien er nog maar weinig 100% goede Heuristic scanners bestaan, is het wel degelijk zeer gemakkelijk om tegenwoordig een nieuw virus te installeren. Alle bescherm methodes zijn openbaar, de virus schrijver draait dus gewoon een systeem met Kaspersky, NOD32, AVG, Trend-Micro, F-Secure, etc, etc en probeert allemaal kleine aanpassingen uit.

Vaak is een kleine aanpassing al voldoende, omdat daarmee de "virus signature" niet meer klopt waardoor de anti-virus scanner het virus al niet meer herkent. Alleen via Heuristic scannen kan de AV software "iets" doen, maar dat is verre van ideaal en wordt soms uitgeschakelt door de vele "false-positives" die het kan veroorzaken.

Maar de fout is al nu dus opgelost door Adobe, versie 9,0,124,0 kan al een tijdje worden gedownload. Waar Adobe goed aan zou doen is een automatische update inbouwen in flash, want dit is nu dus al de 3rde gevaarlijke 0-day exploit in Flash en het vereist nog steeds een aktie van de gebruiker zelf om te controleren.

Internet Explorer gebruikers hebben dan wel het voordeel dat via de <object> methode een versie nummer kan worden meegegeven om aan gebruikers van andere websites te laten zien dat ze een verouderde versie gebruiken (en dus geen apart bezoek aan adobe.com nodig is). Echter de meeste websites laten dat achterwegen of geven een zeer oude versie aan als minimale ondersteuning voor de gebruikte Flash technieken.

Zou eventueel een idee zijn voor Tweakers.net om voor IE gebruikers de allerlaatste Flash versie te forceren en wat meer actief meehelpen aan een veiliger internet. Via een simpel PHP script kan je via cURL de allerlaatste versie van Flash achterhalen van de adobe.com website en deze toevoegen aan de <object> code die door http://tweakimg.net/x/swfobject.js gegenereerd wordt via de SWFObject functie. De adobe.com scan kan dan gewoon via een cron worden gedaan elke 12 uur ofzo.
"Maar de fout is al nu dus opgelost door Adobe, versie 9,0,124,0 kan al een tijdje worden gedownload. Waar Adobe goed aan zou doen is een automatische update inbouwen in flash, want dit is nu dus al de 3rde gevaarlijke 0-day exploit in Flash en het vereist nog steeds een aktie van de gebruiker zelf om te controleren."

Uit het artikel:

"Het lek is volgens Symantecs Securityfocus aangetroffen in Flash-versies 9.0.124.0 en 9.0.115.0."

Dus, hoe kom je er bij dat het al is opgelost?
Omdat Adobe's Product Security Incident Response Team dit zelf zegt?
"This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere – customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We’re still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0."
Overigens zegt CERT hetzelfde:
This issue has been addressed in the most recent version (9.0.124.0) of Adobe Flash. Microsoft Windows users should browse to the Adobe Flash Player Support Center downloads and install the most recent version of Flash site using Internet Explorer, then repeat the process for all other installed browsers (Firefox, Opera, Safari, etc). Systems that are not running Windows should be updated by going to the Adobe Flash Player Support Center downloads and installing the most recent version of Flash with all each web browser on the system.
Wie netjes z'n computer en plugins up to date houdt hoeft zich dus totaal niet druk te maken over deze exploit.

[Reactie gewijzigd door mindcrash op 29 mei 2008 00:34]

Dit is geen bug, Adobe heeft Flash 'scripting' mogelijkheden behoorlijk uitgebreid.
Natuurlijk is het wel een bug, Adobe bevestigt het zelfs (zie link in het artikel hierboven) |:(

En een (momenteel) ondetecteerbare keylogger maken is vrij simpel hoor; zeker met alle malware-toolkits van tegenwoordig hoor. Het blijft nou eenmaal een kat- & muisspel tussen de misbruikers en de beschermers. En aangezien er blijkbaar grof geld mee te verdienen valt, worden de aanvallers ook steeds "professioneler" :(
T'is al zeldzaam dat adobe een bug confirmed, zit momenteel op een vrij groot flex project, en de flex support is redelijk triest, ook voor bugs in de player ...
Ja maar met windows vista komt er haast niks meer op je pc als je hem standaard beveiligd hebt (oftewel niks gewijzigd).

Als ik serieus kijk naar mijn oude XP machine, daar had ik een enkele keer een probleem. Nu heb ik een stres test naar verschillende cracksites gedaan in firefox. Het enige probleem was destijds dat firefox nog wel eens vastliep bij 20 vensters ofzo.

Ik vraag me ook zeker af, dat als je dus gewoon een goede standaard beveiliging hebt, in hoeverre je dan hierdoor besmet kan raken. Zeker als het gaat om virussen of keyloggers hebben hedendaagse virusscanners dat enorm snel door, en dan is het nog de nieuwe vista beveiliging zelf, die heel veel acties standaard niet toelaat. Vandaar dat ik niet echt denk dat het zo makkelijk is als vroeger.
Zit het alleen in de laatste versie dan? Ik lees namelijk nergens welke flash versies risico lopen.
Zo lees ik het wel ja, ik snap niet waarom ze dan niet de uitroll van de laatste versie per direct stop zetten, en eventueel de oude versie weer uitrollen. En deze versie opnieuw releasen wanneer dit probleem gefixed is.

Volgens blizzard(aanmeldings message in wow) heeft versie 9.0.124.0 GEEN last van deze exploid meer.

[Reactie gewijzigd door Kevinp op 29 mei 2008 08:18]

Klopt. De laatste versie (9.0.124.0) is niet kwetsbaar. Ook is dit inmiddels te lezen op de website van Symantec en Adobe zelf.

This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere – customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We’re still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0.


Testen om te kijken welke versie je hebt van Flash doe je hier.

NB: De exploit zou volgens geruchten Kaspersky antivirus uitschakelen.

[Reactie gewijzigd door DutchBreeze op 29 mei 2008 11:58]

Met een code-morpher kun je virusscanners heel gemakkelijk om de tuin leiden hoor...
Houd UAP dit probleem niet tegen?
UAC bedoel je zeker
nou.. UAC houd alleen tegen dat je op onbevoegde plaatsen dingen kan aanpassen, zoals in de program files, windows, en de program data. ook in de registry kan je dan niks aanpassen in HKLM als iets niet met admin rechten is gestart, dus als het probeert te installeren in de windows map of in de program files, werkt het natuurlijk niet

als het ergens anders installeert werkt het wel, maar dan is het ook heel makkelijk te verwijderen omdat het niet diep in je systeem nestelt
IE7 in combinatie met Protected Mode draait normaal in een sandbox.

Ik steun LuCarD: Wie voelt zich geroepen om het even uit te testen? (in een VM ofzo, ik heb nu even geen Vista VM bij de hand...)
ik heb een vista vm maar die 2 domeinnamen die worden aangegeven in het artikel zijn niet meer beschikbaar... :/

weet iemand een andere website met deze exploit?
Vista only

Waarschijnlijk wel. Probeer het zou ik zeggen :)
IK begrijp het niet helemaal... installeert Flash nu die software?
Of is Flash de oorzaak in het begin van traject....
flash heeft een hole. waardoor er onopgemerkt software op je pc gezet kan worden
Als ik het verhaal goed begrepen heb, is het inderdaad flash die die software installeert. Anders heeft het ook weinig zin om door te moeten linken naar een flash op een bepaald domein.
Het Flash bestand is de 'software'.
Nee, het flash bestand wordt gebruikt om de software (de keylogger) te installeren, door misbruik te maken van een security hole in de flash plugin.

[Reactie gewijzigd door .oisyn op 28 mei 2008 16:52]

waar malware in de vorm van Flash-scripts is geplaatst. Deze kwaadaardige code installeert vervolgens ongemerkt een keylogger.
Die foute Chinese Flash applicaties doen het smerige werk dus.
Ze maken gebruik van flash om toegang tot je systeem te krijgen waar ze eigenlijk niet bij zouden kunnen. Flash is hier dus de oorzaak, met als gevolg dat je software kunt installeren.
flash is de oorzaak en met behulp van een flash script wordt rommel geïnstalleerd...
Ik snap het ook niet helemaal. Iedere website kan toch linken (hard, deep, whatever) naar een bron van malware? En als dat zichzelf dan zonder toestemming installeert heb je geen flash-bug maar gewoon een security probleem.

[Reactie gewijzigd door blorf op 28 mei 2008 16:47]

Ja maar die malware installeert normaalgesproken niet zonder dat je ergens toestemming voor hebt gegeven.
edit vanwege edit blorf:
Je hebt dan inderdaad een security probleem.. Alleen niet één die je door nalatigheid hebt veroorzaakt maar alleen doordat je je flash player hebt ge-update. Snap je het nou?

[Reactie gewijzigd door MaZeS op 28 mei 2008 17:35]

het security probleem is de bug. Of denk je dat dat gewenste functionaliteit is? 8)7
Mogelijkheden tot misbruik waren al voorzien voor de nieuwe Flash CS3 ActionScript versie, ondanks de beveiliging waar je als ontwikkelaar omheen moet zien te hakken. Vervolgens geef je namelijk als gebruiker toestemming tot uitvoeren van het gehele bestand, vergelijkbaar met een executable.
Hier nog wat extra info erover. http://ddanchev.blogspot....xploiting-flash-zero.html

Staan ook nog meer sites die eventueel geblokkeerd kunnen worden.
Hm waar kan ik zien welke versie ik heb?
rechter muisknop op een flash object en dan "about adobe flash player"
Vraag me af hoe lang het duurt tot Microsoft hun SIlverlight de hemel in gaat prijzen dat hun software véél veiliger is dan flash.
Ja, want daar hebben ze een handje van tenslotte. Oh nee wacht, dat hebben ze nog nooit gedaan.

Jammer van de bashpoging. :O
neej alleen maar wanneer er een nieuwe linux kernel uitkomt, 2.7 iod. bij 2.4 deden ze het ook niet. of bij freebsd, opensolaris. en ook bij OSX toen dat uitkwam en toen ze zelf met windows XP kwamen. (geen chronolie toegepast)
een kennis van mij (een niet onervaren "beveiligings expert") kijkt uit naar de vele achterdeurtjes in silverlight die wagenwijd voor hem openstaan. In de beta toen althans nog wel ;). Volgens hem zou microsoft in dat geval dus liegen.

[Reactie gewijzigd door ThePiratemaster op 28 mei 2008 17:07]

ghaha ik moest ook meteen aan Silverlight denken, maar dan dat dat nog 10x brakker zal zijn :P
maar wel indexeerbaar door google :). flash however, niet.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True