Abonneer je gratis op Techzine!

Op dit moment misbruiken aanvallers een nieuw lek in Adobe Flash waar nog geen patch voor is en dat bijna alle internetgebruikers treft.

Beveiligingsgigant Symantec kwam onlangs een PDF-bestand tegen dat bij het openen in Adobe Reader malware installeert. Na uitgebreid onderzoek werd duidelijk dat het lek niet aanwezig was in Reader, maar juist in Adobe Flash.

Dit maakt het lek alleen maar erger, omdat Flash op meerdere platformen en in alle populaire browsers aanwezig is en de uitbuiting ervan zich ook nog eens in een PDF-document bevindt. "Daarom moet de dreiging van dit probleem niet licht worden opgevat", vertelt Patrick Fitzgerald via Security.NL.

Vanwege het gigantische marktaandeel van Adobe Flash – het is aanwezig op 99 procent van alle computers – is het een zeer aantrekkelijk doelwit voor aanvallers, ook omdat veel gebruikers geen up-to-date Flash hebben geïnstalleerd. Bovendien valt het gebruikers niet eens op dat ze Flash gebruiken.

Next-genlek

Mark Dowd publiceerde vorig jaar een artikel over hoe hij een lek in Adobe Flash uit kan buiten. In dat artikel beschreef hij de obstakels die hij tegenkwam. "Het artikel gaf de lezer een bepaald gevoel van veiligheid, omdat het liet zien hoe moeilijk het was om een betrouwbare exploit te ontwikkelen en toen de patch beschikbaar werd, konden we dit vervelende incident achter ons laten", zo vertelt Fitzgerald. Tot nu toe zijn alle exploits verschenen voor Flash op dit werk gebaseerd.

Deze nieuwe exploit maakt gebruik van een heapspraytechniek om zo een betrouwbare exploit te bouwen. Zodra een website of PDF-bestand geopend wordt, wordt een Trojaans paard geïnstalleerd. De aanval wordt op dit moment gebruikt in PDF-bestanden en in Flash-filmpjes, zo meldt het bedrijf Purewire. Bovendien zou er op dit moment nog geen virusscanner zijn die het lek herkent.

Overigens zal het aantal aanvallen en exploits de komende tijd alleen maar toenemen. Ook meldt de beveiligingsgigant Symantec dat Windows Vista met user account control ingeschakeld niet kwetsbaar is voor het probleem.

Adobe, dat recentelijk nog in het nieuws kwam omdat het een oude en lekke versie van Reader op zijn site aanbood, heeft laten weten dat het de meldingen heeft ontvangen en dat het deze aan het onderzoeken is.

Workarounds

Ondertussen is er geen echte workaround, maar de Belgische beveiligingsonderzoeker Didier Stevens vertelt tegen Security.NL dat er een ‘quick & dirty’-oplossing is. Gebruikers moeten hiervoor een hex-editor openen en het bestand AcroRd32.dll wijzigen door het woord RichMedia door Richmedia te vervangen. Er is slechts één string met dit complete woord, de rest zijn substrings. Overigens is de positie van deze string voor AcroRd32.dll-versie 9.1.2.82 8F98FE. Hierdoor kan het wel zo zijn dat latere updates mogelijk niet goed functioneren.

Het US-CERT beveelt aan om Flash in Adobe Reader 9 op Windows-platformen compleet uit te schakelen door "%ProgramFiles%AdobeReader 9.0Readerauthplay.dll" en "%ProgramFiles%AdobeReader 9.0Readerrt3d.dll" te hernoemen. Overigens werkt het uitschakelen van JavaScript niet om het lek te stoppen, zo wordt opgemerkt.