Nieuwe exploit in Flash-player direct misbruikt -- update

In recente versies van Adobes Flash-player is een lek ontdekt. De exploit zou door malwareverspreiders inmiddels op grote schaal worden misbruikt voor het ongemerkt installeren van keyloggers.

Flash-logoHet lek is volgens Symantecs Securityfocus aangetroffen in Flash-versies 9.0.124.0 en 9.0.115.0. Adobe heeft in een korte verklaring laten weten op de hoogte te zijn van de bug en met malwarebestrijders samen te werken om de problemen in kaart te brengen.

Aanvallers gebruiken de zero day exploit inmiddels om met behulp van sql-injecties websites te laten doorverwijzen naar enkele Chinese domeinen waar malware in de vorm van Flash-scripts is geplaatst. Deze kwaadaardige code installeert vervolgens ongemerkt een keylogger. Inmiddels zouden volgens Symantec meer dan twintigduizend websites zijn besmet met scripts die gebruikers doorsturen naar de malwaresites.

Zowel Firefox- als IE-gebruikers zouden kwetsbaar zijn voor een aanval, maar het is vooralsnog onbekend of naast Windows ook andere besturingssystemen kwetsbaar voor de aanvallen zijn. Tot het lek is gedicht, wordt aangeraden om de domeinen wuqing17173.cn en woai117.cn te blokkeren. Verder verdient het volgens de beveiligingsonderzoekers van het US-Cert aanbeveling om Flash-content selectief te blokkeren, zoals bijvoorbeeld met de Noscript-addon voor Firefox, of om de plugin in zijn geheel uit te schakelen.

Update 30/5, 16:30: Na enig speurwerk van onder andere Cert blijkt dat bovengenoemde bug in de meest recente versie van de Flash-player, 9.0.124.0, al is gedicht. Adobe raadt iedereen aan om naar deze versie te upgraden.

Door Dimitri Reijerman

Redacteur

Feedback • 28-05-2008 16:33 67

28-05-2008 • 16:33

67

Lees meer

Onderzoekers claimen zero day-lek in Adobe Reader gevonden te hebben
Onderzoekers claimen zero day-lek in Adobe Reader gevonden te hebben Nieuws van 8 november 2012
Adobe wordt lid van veiligheidsprogramma Microsoft
Adobe wordt lid van veiligheidsprogramma Microsoft Nieuws van 29 juli 2010
Flash-bug die browser laat crashen is nog niet opgelost
Flash-bug die browser laat crashen is nog niet opgelost Nieuws van 7 februari 2010
Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit
Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit Nieuws van 18 oktober 2009
Mozilla brengt Firefox 3.0.8 vervroegd uit
Mozilla brengt Firefox 3.0.8 vervroegd uit Nieuws van 29 maart 2009
Trojan steelt wachtwoorden van Firefox-gebruikers
Trojan steelt wachtwoorden van Firefox-gebruikers Nieuws van 5 december 2008
Adobe geeft Flash Player 10 vrij
Adobe geeft Flash Player 10 vrij Nieuws van 15 oktober 2008
Symantec lijft PC Tools in
Symantec lijft PC Tools in Nieuws van 19 augustus 2008
Onderzoekers omzeilen beveiligingsmechanismes Vista
Onderzoekers omzeilen beveiligingsmechanismes Vista Nieuws van 9 augustus 2008
Microsoft gaat informatie over lekken eerder vrijgeven
Microsoft gaat informatie over lekken eerder vrijgeven Nieuws van 6 augustus 2008
Onderzoek: surfers vaak lui met browserupdates
Onderzoek: surfers vaak lui met browserupdates Nieuws van 2 juli 2008
Adobe voegt flash-ondersteuning toe aan Acrobat
Adobe voegt flash-ondersteuning toe aan Acrobat Nieuws van 2 juni 2008
Trojans verspreid via downloadmanager
Trojans verspreid via downloadmanager Nieuws van 15 maart 2008
Belangrijke veiligheidsupdates Flash
Belangrijke veiligheidsupdates Flash Nieuws van 17 juli 2007
'Geen Flash of Java op iPhone'
'Geen Flash of Java op iPhone' Nieuws van 22 juni 2007
Meer producten en artikelen
Browsers Netwerk en systeembeheer Adobe Bugs China Criminaliteit Hackers Malware

Reacties (67)

-Moderatie-faq
67
65
16
11
0
0
Wijzig sortering
jwchess 28 mei 2008 17:01
Je kunt het volgende aan je hosts-file (C:\Windows\System32\drivers\etc\hosts) toevoegen om de gewraakte sites te blokkeren:

127.0.0.1 wuqing17173.cn
127.0.0.1 woai117.cn
The Zep Man
@jwchess28 mei 2008 17:47
Je kunt het volgende aan je hosts-file (C:\Windows\System32\drivers\etc\hosts) toevoegen om de gewraakte sites te blokkeren:

127.0.0.1 wuqing17173.cn
127.0.0.1 woai117.cn
Let op dat je hiermee niet de gewraakte sites zelf blokkeert maar alleen de DNS entries. Indien een andere naam gebruikt wordt om de site aan te roepen (of direct via IP-adres) dan kan de exploit alsnog geïnstalleerd worden.

De (meer universeel aangeduide) locatie van het hosts-bestand is: %WINDIR%\system32\drivers\etc\hosts
GetaGrip @jwchess28 mei 2008 18:24
"For Internet Explorer users, uninstalling Flash Player is the best remedy. Adobe offers a standalone uninstaller to remove the program. According to Symantec, setting the kill bit for ClassID d27cdb6e-ae6d-11cf-96b8-444553540000 until an update is available will also help to protect from attacks. IE users can also, however, block execution of Flash objects and consign the browser to a sandbox using the c't IE Controller (German language page) which should also work for English language users."

bron: heise-online

[Reactie gewijzigd door GetaGrip op 24 juli 2024 01:31]

GetaGrip 28 mei 2008 16:46
"Well, I guess the game is on...... - The last massive SQL injection victimized over half a million websites! And this beast just got his wings."

bron: http://www.0x000000.com/

Altijd leuk om iemand heeeeeel technisch te zien doen ;)
Verwijderd 29 mei 2008 00:05
Leuk en aardig allemaal, maar hoe weet je nu of je die keylogger hebt. Hoe heet dat ding, en zijn er al tools beschikbaar om te scannen?

Edit: ik gebruik trouwens al een tijdje dit: https://addons.mozilla.org/nl/firefox/addon/433

dus dat zit wel goed..

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:31]

Carda 28 mei 2008 16:35
Ongemerkt bijvoorbeeld een keylogger installeren met een actieve virus scanner is volgens mij tegenwoordig bijna niet meer mogelijk hoor :)

Maar goed, zal wel even duren voordat Adobe deze bug eruit heeft en iedereen z'n flash player geupdate heeft.
Verwijderd @Carda28 mei 2008 19:45
Aangezien er nog maar weinig 100% goede Heuristic scanners bestaan, is het wel degelijk zeer gemakkelijk om tegenwoordig een nieuw virus te installeren. Alle bescherm methodes zijn openbaar, de virus schrijver draait dus gewoon een systeem met Kaspersky, NOD32, AVG, Trend-Micro, F-Secure, etc, etc en probeert allemaal kleine aanpassingen uit.

Vaak is een kleine aanpassing al voldoende, omdat daarmee de "virus signature" niet meer klopt waardoor de anti-virus scanner het virus al niet meer herkent. Alleen via Heuristic scannen kan de AV software "iets" doen, maar dat is verre van ideaal en wordt soms uitgeschakelt door de vele "false-positives" die het kan veroorzaken.

Maar de fout is al nu dus opgelost door Adobe, versie 9,0,124,0 kan al een tijdje worden gedownload. Waar Adobe goed aan zou doen is een automatische update inbouwen in flash, want dit is nu dus al de 3rde gevaarlijke 0-day exploit in Flash en het vereist nog steeds een aktie van de gebruiker zelf om te controleren.

Internet Explorer gebruikers hebben dan wel het voordeel dat via de <object> methode een versie nummer kan worden meegegeven om aan gebruikers van andere websites te laten zien dat ze een verouderde versie gebruiken (en dus geen apart bezoek aan adobe.com nodig is). Echter de meeste websites laten dat achterwegen of geven een zeer oude versie aan als minimale ondersteuning voor de gebruikte Flash technieken.

Zou eventueel een idee zijn voor Tweakers.net om voor IE gebruikers de allerlaatste Flash versie te forceren en wat meer actief meehelpen aan een veiliger internet. Via een simpel PHP script kan je via cURL de allerlaatste versie van Flash achterhalen van de adobe.com website en deze toevoegen aan de <object> code die door http://tweakimg.net/x/swfobject.js gegenereerd wordt via de SWFObject functie. De adobe.com scan kan dan gewoon via een cron worden gedaan elke 12 uur ofzo.
Keypunchie
@Verwijderd28 mei 2008 21:58
"Maar de fout is al nu dus opgelost door Adobe, versie 9,0,124,0 kan al een tijdje worden gedownload. Waar Adobe goed aan zou doen is een automatische update inbouwen in flash, want dit is nu dus al de 3rde gevaarlijke 0-day exploit in Flash en het vereist nog steeds een aktie van de gebruiker zelf om te controleren."

Uit het artikel:

"Het lek is volgens Symantecs Securityfocus aangetroffen in Flash-versies 9.0.124.0 en 9.0.115.0."

Dus, hoe kom je er bij dat het al is opgelost?
mindcrash @Keypunchie29 mei 2008 00:13
Omdat Adobe's Product Security Incident Response Team dit zelf zegt?
"This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere – customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We’re still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0."
Overigens zegt CERT hetzelfde:
This issue has been addressed in the most recent version (9.0.124.0) of Adobe Flash. Microsoft Windows users should browse to the Adobe Flash Player Support Center downloads and install the most recent version of Flash site using Internet Explorer, then repeat the process for all other installed browsers (Firefox, Opera, Safari, etc). Systems that are not running Windows should be updated by going to the Adobe Flash Player Support Center downloads and installing the most recent version of Flash with all each web browser on the system.
Wie netjes z'n computer en plugins up to date houdt hoeft zich dus totaal niet druk te maken over deze exploit.

[Reactie gewijzigd door mindcrash op 24 juli 2024 01:31]

Verwijderd @Carda28 mei 2008 16:46
Dit is geen bug, Adobe heeft Flash 'scripting' mogelijkheden behoorlijk uitgebreid.
SKiLLa @Verwijderd28 mei 2008 16:58
Natuurlijk is het wel een bug, Adobe bevestigt het zelfs (zie link in het artikel hierboven) |:(

En een (momenteel) ondetecteerbare keylogger maken is vrij simpel hoor; zeker met alle malware-toolkits van tegenwoordig hoor. Het blijft nou eenmaal een kat- & muisspel tussen de misbruikers en de beschermers. En aangezien er blijkbaar grof geld mee te verdienen valt, worden de aanvallers ook steeds "professioneler" :(
Apache @SKiLLa28 mei 2008 17:29
T'is al zeldzaam dat adobe een bug confirmed, zit momenteel op een vrij groot flex project, en de flex support is redelijk triest, ook voor bugs in de player ...
semicon @SKiLLa29 mei 2008 09:19
Ja maar met windows vista komt er haast niks meer op je pc als je hem standaard beveiligd hebt (oftewel niks gewijzigd).

Als ik serieus kijk naar mijn oude XP machine, daar had ik een enkele keer een probleem. Nu heb ik een stres test naar verschillende cracksites gedaan in firefox. Het enige probleem was destijds dat firefox nog wel eens vastliep bij 20 vensters ofzo.

Ik vraag me ook zeker af, dat als je dus gewoon een goede standaard beveiliging hebt, in hoeverre je dan hierdoor besmet kan raken. Zeker als het gaat om virussen of keyloggers hebben hedendaagse virusscanners dat enorm snel door, en dan is het nog de nieuwe vista beveiliging zelf, die heel veel acties standaard niet toelaat. Vandaar dat ik niet echt denk dat het zo makkelijk is als vroeger.
Verwijderd @Verwijderd29 mei 2008 07:13
Zit het alleen in de laatste versie dan? Ik lees namelijk nergens welke flash versies risico lopen.
Kevinp @Verwijderd29 mei 2008 08:13
Zo lees ik het wel ja, ik snap niet waarom ze dan niet de uitroll van de laatste versie per direct stop zetten, en eventueel de oude versie weer uitrollen. En deze versie opnieuw releasen wanneer dit probleem gefixed is.

Volgens blizzard(aanmeldings message in wow) heeft versie 9.0.124.0 GEEN last van deze exploid meer.

[Reactie gewijzigd door Kevinp op 24 juli 2024 01:31]

Verwijderd @Kevinp29 mei 2008 11:54
Klopt. De laatste versie (9.0.124.0) is niet kwetsbaar. Ook is dit inmiddels te lezen op de website van Symantec en Adobe zelf.

This exploit does NOT appear to include a new, unpatched vulnerability as has been reported elsewhere – customers with Flash Player 9.0.124.0 should not be vulnerable to this exploit. We’re still looking in to the exploit files, and will update everyone with further information as we get it, but for now, we strongly encourage everyone to download and install the latest Flash Player update, 9.0.124.0.

Testen om te kijken welke versie je hebt van Flash doe je hier.

NB: De exploit zou volgens geruchten Kaspersky antivirus uitschakelen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:31]

Isnowiz @Carda28 mei 2008 19:33
Met een code-morpher kun je virusscanners heel gemakkelijk om de tuin leiden hoor...
Abom 28 mei 2008 17:05
Houd UAP dit probleem niet tegen?
Verwijderd @Abom28 mei 2008 17:29
UAC bedoel je zeker
nou.. UAC houd alleen tegen dat je op onbevoegde plaatsen dingen kan aanpassen, zoals in de program files, windows, en de program data. ook in de registry kan je dan niks aanpassen in HKLM als iets niet met admin rechten is gestart, dus als het probeert te installeren in de windows map of in de program files, werkt het natuurlijk niet

als het ergens anders installeert werkt het wel, maar dan is het ook heel makkelijk te verwijderen omdat het niet diep in je systeem nestelt
masterpoi @Verwijderd28 mei 2008 17:39
IE7 in combinatie met Protected Mode draait normaal in een sandbox.

Ik steun LuCarD: Wie voelt zich geroepen om het even uit te testen? (in een VM ofzo, ik heb nu even geen Vista VM bij de hand...)
Verwijderd @masterpoi28 mei 2008 17:59
ik heb een vista vm maar die 2 domeinnamen die worden aangegeven in het artikel zijn niet meer beschikbaar... :/

weet iemand een andere website met deze exploit?
LuCarD @Abom28 mei 2008 17:11
Vista only

Waarschijnlijk wel. Probeer het zou ik zeggen :)
Intheweb 28 mei 2008 16:38
IK begrijp het niet helemaal... installeert Flash nu die software?
Of is Flash de oorzaak in het begin van traject....
freaq @Intheweb28 mei 2008 16:40
flash heeft een hole. waardoor er onopgemerkt software op je pc gezet kan worden
TD-er @Intheweb28 mei 2008 16:40
Als ik het verhaal goed begrepen heb, is het inderdaad flash die die software installeert. Anders heeft het ook weinig zin om door te moeten linken naar een flash op een bepaald domein.
Verwijderd @TD-er28 mei 2008 16:48
Het Flash bestand is de 'software'.
.oisyn Moderator Devschuur®
@Verwijderd28 mei 2008 16:51
Nee, het flash bestand wordt gebruikt om de software (de keylogger) te installeren, door misbruik te maken van een security hole in de flash plugin.

[Reactie gewijzigd door .oisyn op 24 juli 2024 01:31]

Robtimus @Intheweb28 mei 2008 16:41
waar malware in de vorm van Flash-scripts is geplaatst. Deze kwaadaardige code installeert vervolgens ongemerkt een keylogger.
Die foute Chinese Flash applicaties doen het smerige werk dus.
Wizzkid007 @Intheweb28 mei 2008 16:41
Ze maken gebruik van flash om toegang tot je systeem te krijgen waar ze eigenlijk niet bij zouden kunnen. Flash is hier dus de oorzaak, met als gevolg dat je software kunt installeren.
HyperBart @Intheweb28 mei 2008 16:42
flash is de oorzaak en met behulp van een flash script wordt rommel geïnstalleerd...
blorf @Intheweb28 mei 2008 16:46
Ik snap het ook niet helemaal. Iedere website kan toch linken (hard, deep, whatever) naar een bron van malware? En als dat zichzelf dan zonder toestemming installeert heb je geen flash-bug maar gewoon een security probleem.

[Reactie gewijzigd door blorf op 24 juli 2024 01:31]

MaZeS @blorf28 mei 2008 16:50
Ja maar die malware installeert normaalgesproken niet zonder dat je ergens toestemming voor hebt gegeven.
edit vanwege edit blorf:
Je hebt dan inderdaad een security probleem.. Alleen niet één die je door nalatigheid hebt veroorzaakt maar alleen doordat je je flash player hebt ge-update. Snap je het nou?

[Reactie gewijzigd door MaZeS op 24 juli 2024 01:31]

Turiya @blorf29 mei 2008 07:54
het security probleem is de bug. Of denk je dat dat gewenste functionaliteit is? 8)7
Verwijderd 28 mei 2008 16:43
Mogelijkheden tot misbruik waren al voorzien voor de nieuwe Flash CS3 ActionScript versie, ondanks de beveiliging waar je als ontwikkelaar omheen moet zien te hakken. Vervolgens geef je namelijk als gebruiker toestemming tot uitvoeren van het gehele bestand, vergelijkbaar met een executable.
MADG0BLIN 28 mei 2008 16:44
Hier nog wat extra info erover. http://ddanchev.blogspot....xploiting-flash-zero.html

Staan ook nog meer sites die eventueel geblokkeerd kunnen worden.
poor Leno 28 mei 2008 16:56
Hm waar kan ik zien welke versie ik heb?
ocdaan @poor Leno28 mei 2008 17:02
rechter muisknop op een flash object en dan "about adobe flash player"
WeeJeWel 28 mei 2008 16:58
Vraag me af hoe lang het duurt tot Microsoft hun SIlverlight de hemel in gaat prijzen dat hun software véél veiliger is dan flash.
Verwijderd @WeeJeWel28 mei 2008 17:00
Ja, want daar hebben ze een handje van tenslotte. Oh nee wacht, dat hebben ze nog nooit gedaan.

Jammer van de bashpoging. :O
Verwijderd @Verwijderd28 mei 2008 18:38
neej alleen maar wanneer er een nieuwe linux kernel uitkomt, 2.7 iod. bij 2.4 deden ze het ook niet. of bij freebsd, opensolaris. en ook bij OSX toen dat uitkwam en toen ze zelf met windows XP kwamen. (geen chronolie toegepast)
Verwijderd @WeeJeWel28 mei 2008 17:07
een kennis van mij (een niet onervaren "beveiligings expert") kijkt uit naar de vele achterdeurtjes in silverlight die wagenwijd voor hem openstaan. In de beta toen althans nog wel ;). Volgens hem zou microsoft in dat geval dus liegen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:31]

poepkop @WeeJeWel28 mei 2008 19:16
ghaha ik moest ook meteen aan Silverlight denken, maar dan dat dat nog 10x brakker zal zijn :P
Verwijderd @poepkop28 mei 2008 19:21
maar wel indexeerbaar door google :). flash however, niet.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq