Nieuws
image

Flash exploit schakelt virusscanners uit

dinsdag 15 september 2009, 09:36 door Redactie, 8 reacties

Een beveiligingslek in Flash dat eind juli door Adobe gepatcht werd, wordt nog altijd voor gerichte aanvallen ingezet, waarbij een laatst ontdekte exploit zelfs verschillende beveiligingsprogramma's uitschakelt. Het gaat om een kwaadaardig Flash filmpje dat de aanvallers aan PDF bestanden toevoegen. Zodra slachtoffers het document openen, probeert de exploit aanwezige security software uit te schakelen. Vervolgens verzamelt het privégegevens, zoals informatie over het besturingssysteem, CPU snelheid en type, aanwezige schijven, accountnaam van ingelogde gebruikers en inloggegevens van verschillende programma's, waaronder MSN Messenger.

Achterdeur
Door de backdoor functionaliteit kan de malware auteur nieuwe opdrachten geven. Eén van de instructies vertelt de malware om zich naar alle verwijderbare media te kopiëren, net zoals een worm doet. "Dit gedrag kan een bedrijfsnetwerk infecteren, zoals we van Conficker kennen", zegt Dennis Elser van McAfee.

Vanuit een beveiligingsperspectief gezien vormt het toevoegen van Flash een extra aanvalsvector voor aanvallers om een kwetsbaar systeem over te nemen. "Zoals de geschiedenis heeft laten zien, gaan complexiteit en features hand in hand met op afstand te misbruiken lekken. Het is helaas hetzelfde met deze nieuwste PDF feature."

Reacties (8)
15-09-2009, 09:53 door Thasaidon
Ik vraag me af of dit ook nog lukt als de virusscanner "beveiligt" is met een wachtwoord.
15-09-2009, 10:25 door H.King
Met wachtwoord is het nog steeds mogelijk. Ze hooken namelijk bepaalde functie's in je virus scanner waardoor het programma niet meer werkt of gewoon crashed.Al meende ik dat kaspersky hier aardig goed tegen beveiligd is.
15-09-2009, 11:58 door Anoniem
@redactie: gaarne plaatsen

De oplossing is vrij simpel:

Zorgen dat je zelf met gebruikersrechten werkt en iig niet met rechten die het mogelijk maken om je virusscanner uit te zetten.

LUA principe dus
15-09-2009, 12:12 door Anoniem
Hoe kan een flash script nu een service uitschakelen ? Dan browse je toch met systeem privileges.. Pfff.
15-09-2009, 13:10 door Anoniem
Door H.King: Al meende ik dat kaspersky hier aardig goed tegen beveiligd is.

Dat klopt. Het is vrijwel niet mogelijk om Kaspersky te hooken. Hoewel, als je een eigen (kernel)driver weet te schrijven is dat natuurlijk wel mogelijk...

Greets.
15-09-2009, 13:23 door Bitwiper
Door Thasaidon: Ik vraag me af of dit ook nog lukt als de virusscanner "beveiligt" is met een wachtwoord.
Dit is een van de redenen waarom je niet als admin (account dat lid is van de Administrators groep) je PC moet gebruiken, anders dan voor beheerwerkzaamheden.
Door H.King: Met wachtwoord is het nog steeds mogelijk. Ze hooken namelijk bepaalde functie's in je virus scanner waardoor het programma niet meer werkt of gewoon crashed.
Tenzij er een unpatched privilege escalation mogelijk is kan dit niet als je geen admin bent en je PC qua patches up-to-date is.
15-09-2009, 14:30 door Anoniem
boeiend, gewoon flash updaten en het kan al niet meer..
16-09-2009, 14:12 door spatieman
Door Anoniem: Hoe kan een flash script nu een service uitschakelen ? Dan browse je toch met systeem privileges.. Pfff.

het is een FLASH filmpje wat in een PDF verstopt zit.
JAVA script UITSCHAKELEN KAN HELPEN. <- KAN ,wil niet zeggen dat ook helpt.
en ja, verminderde rech zou ook kunnen helpen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search