Het nieuwste beveiligingslek in Adobe Flash Player dat via Excel-bestanden wordt misbruikt, werkt niet op Microsoft Office 2010 en is zeer waarschijnlijk door Chinese cybercriminelen ontwikkeld. Beveiligingsbedrijf FireEye onderzocht de malware die de exploit achterlaat, genaamd Linxder. Zowel de malware als de aanval zouden het werk van Chinese cybercriminelen zijn.

Het voor de aanvallen gebruikte document werd in 2003 door ene Joseph Sarkis gemaakt en zou ergens de afgelopen jaren zijn gestolen. De aanvallers voorzagen dit document van de Flash exploit en lieten daarbij een mogelijke clue achter. De laatste aanpassingen zouden door ene Linxder zijn gemaakt, een bekende Chinese virusschrijver.

"Gebaseerd op dit bewijs is het met redelijke zekerheid te zeggen dat de Chinese hackers het meesterbrein achter deze aanval zijn. Hoewel het ook mogelijk is dat een rivaliserende groep de wereld probeert te misleiden door Linxder in deze zaak te betrekken."

Office 2010
Microsoft laat weten dat Office 2010 niet kwetsbaar voor de aanval is. De kantoorsoftware schakelt automatisch Data Execution Prevention (DEP) voor kernonderdelen in, waaronder ook Flash Player als het binnen een Office applicatie wordt geladen. Daarnaast zouden gebruikers van Office 2010 64-bit nog minder risico lopen, omdat de shellcode voor alle exploits alleen op 32-bit processen werken. Verder wordt bij bestanden afkomstig van e-mail of internet automatisch de Protected View feature ingeschakeld.

Protected View gebruikt een sandbox voor het weergeven van het document, wat ook geldt voor Flash content die in een Office document zit ingebed. Gebruikers die aanvullende bescherming willen of een oudere Office versie gebruiken krijgen het advies om de Enhanced Mitigation Experience Toolkit (EMET) te gebruiken. Gebruikers van Office 2007 kunnen daarnaast Flash Player alsmede andere ActiveX controls uitschakelen zodat ze niet binnen een Office applicatie kunnen draaien.

Fuzzing
Onderzoekers van Microsoft vermoeden dat het lek via fuzzing is gevonden. Dit is het bestoken van een bestand met allerlei data, totdat zich een crash voordoet, die mogelijk het uitvoeren van willekeurige code mogelijk maakt. Op het internet werd een bestand gevonden dat leek alsof het voor fuzzing was gebruikt.

Door het originele bestand en de exploit te vergelijken konden de onderzoekers uiteindelijk het lek bevestigen. Daarnaast bleek de exploit niet op sommige oude Flash Player versies te werken, maar dat wil niet zeggen dat deze versies niet kwetsbaar zijn. Adobe brengt aanstaande dinsdag een update voor het lek uit.