Zero-daylek in Adobe Flash treft gebruikers via Microsoft Excel

Adobe heeft een update beschikbaar gemaakt voor een kritieke kwetsbaarheid in Flash die actief misbruikt wordt. De exploit verloopt niet via de browser, maar treft gebruikers via Excel.

Adobe adviseert gebruikers van Flash Player om zo snel mogelijk te updaten naar versie 30.0.0.113. De update verhelpt vier kwetsbaarheden in de software, waaronder een zero-daylek dadt reeds in het wild wordt gebruikt voor gerichte aanvallen in het Midden-Oosten.

Niet ingesloten

De aanval werd ontdekt door onder meer securitybedrijf Icebrg, en gebruikt een Excel-document om de Flash-exploit te downloaden en uit te voeren op de computer van het slachtoffer. De Flash-inhoud wordt niet rechtstreeks in het document ingesloten, maar opgeroepen vanaf een externe server.

Deze techniek helpt volgens Icebrg detectie voorkomen, omdat het Excel-document zelf geen schadelijke code bevat. Een tweede voordeel is dat de aanvaller op deze manier de exploit selectief kan uitvoeren. Zo kunnen onbedoelde targets, die het risico op detectie verhogen, worden vermeden.

Wanneer het Excel-document wordt geopend, wordt een versleuteld Flash-bestand opgeroepen dat – na decryptie door de aanvaller – de exploit uitvoert. Op die manier wordt een achterdeur in het systeem gecreëerd waarlangs de aanvaller eigen code kan uitvoeren. De versleuteling van de exploit bemoeilijkt opnieuw de detectie door een beveiligingsproduct, alsook forensische analyse.

Excel

Hoewel Flash-exploits doorgaans via de browser verlopen in plaats van Microsoft Excel, is dat de laatste tijd steeds moeilijker geworden. Browsers hebben hun bescherming tegen misbruik van plug-ins zoals Flash erg verstevigd. Google Chrome blokkeert Flash bijvoorbeeld standaard sinds versie 55.

Office ondersteunt wel nog altijd ingesloten ActiveX-besturingselementen, waaronder Flash. Microsoft heeft reeds laten weten dat het daar vanaf januari 2019 verandering in brengt en Flash standaard zal blokkeren in Office 365.