Nieuw Flash Player-lek HackingTeam actief aangevallen
Het Italiaanse HackingTeam blijkt over veel meer onbekende kwetsbaarheden in Adobe Flash Player te beschikken dan degene die begin deze week werd onthuld en één van deze lekken wordt nu actief door cybercriminelen aangevallen en een update van Adobe is nog niet beschikbaar.
Daardoor lopen miljoenen internetgebruiker risico. De situatie lijkt op een herhaling van het scenario dat zich eerder deze week afspeelde. Een aanvaller slaagde erin bij HackingTeam in te breken en maakte daar 400GB aan gegevens buit. In de data werd een zero day-kwetsbaarheid voor Flash Player aangetroffen. Na de ontdekking voegden criminelen die toe aan allerlei zogeheten exploitkits om internetgebruikers mee aan te vallen. Adobe kwam vervolgens met een patch om het probleem te verhelpen.
Twee nieuwe zero days
In het archief van HackingTeam hebben onderzoekers nu twee nieuwe "zero day-kwetsbaarheden" gevonden en openbaar gemaakt. De beveiligingslekken in Adobe Flash Player versie 18.0.0.204 en ouder worden aangeduid met de CVE-nummers CVE-2015-5122 en CVE-2015-5123. Een van deze lekken, CVE-2015-5122, hebben cybercriminelen aan de Angler Exploitkit toegevoegd, zo meldt onderzoeker Kafeine van het blog Malware Don't Need Coffee. De code is inmiddels ook aan Metasploit toegevoegd, een programma waarmee security professionals en penetratietesters de veiligheid van netwerken en systemen kunnen testen.
Daardoor lopen internetgebruikers met Flash Player bij het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van besmette advertenties of het openen van een Word-document met een embedded Flash-bestand het risico om met malware besmet te raken. Net als deze week zal Adobe met een noodpatch komen. Die zal echter pas volgende week worden gepubliceerd, zo laat het softwarebedrijf in de vooraankondiging weten, hoewel in de advisory over de week van 12 juli wordt gesproken. In de tussentijd kunnen internetgebruikers zich beschermen door Flash Player tijdelijk uit te schakelen, zoals in dit achtergrondartikel van Security.NL wordt uitgelegd.
Update 10:47
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt ook voor de kwetsbaarheid en stelt dat gebruikers zich kunnen beschermen door het gratis Microsoft EMET te installeren of geen onbetrouwbare Flash-content uit te voeren.
Mijn (primitieve) oplossing:
Oude Laptop zonder HD.
Opstarten met Live Linux Mint.
Geen gevoelige gegevens typen en alles bezoeken/openen wat ik interessant vind.
Wil ik iets bewaren dan doe ik dat op een daarvoor gereserveerde USB-stick.
En raakt de computer besmet, wat dan nog?
Heb geen ervaring met "deepin" maar waarom elke twee weken een nieuwe DVD?
Opstarten van een USB-stick gaat veel sneller.
Is dan het enige wat jullie doen de hele dag alleen maar flash filmpjes kijken?
Tja dan stort je wereld wel in en is dit allemaal heel erg erg te noemen.
Die live DVD is trouwens inderdaad een prima oplossing en zou eigenlijk meer aandacht moeten verdienen voor in diverse situaties voor simpel standaard gebruik voor internet.
Start wel regelmatig die computer even weer opnieuw op want anders loop je de kans dat er allerlei rotzooi in je ram geheugen blijft hangen!
Vooralsnog is dit vooral een groot probleem voor al die gebruikers die werkelijk geen bal verstand hebben van de spullen waarmee ze werken, niet eens weten wat een plugin is en of hoe deze up to date te houden.
Daar zit hem, wat mij betreft, de èchte pijn.
Mijn (primitieve) oplossing:
Oude Laptop zonder HD.
Opstarten met Live Linux Mint.
Geen gevoelige gegevens typen en alles bezoeken/openen wat ik interessant vind.
Wil ik iets bewaren dan doe ik dat op een daarvoor gereserveerde USB-stick.
En raakt de computer besmet, wat dan nog?
Ik word al die beveiligingslekken ook behoorlijk zat. Dat is best een aardige oplossing, maar dat blijft symptoombestrijding. Adobe zal wel als een gek alle beveiligingslekken in Flash aan het fixen zijn, maar het blijft dweilen met de kraan open. Flash is al jaren een oud en stagnerend project met een slechte reputatie m.b.t. tot veiligheid en performance algemeen. Ik vind het wonderbaarlijk dat we er nog steeds nog veel te inschikkelijk mee omgaan.
Alleen al de waslijst aan CVEs wordt je echt niet vrolijk van: http://www.cvedetails.com/vulnerability-list.php?vendor_id=53&product_id=6761&version_id=0&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order=1&trc=473&sha=ac2a72f983d2b7488412b74b424af6da7078c21a
Dit betreffen alleen nog maar CVEs; veel beveiligingslekken halen die lijst niet altijd. Ook zullen er nog tal van beveiligingslekken rondzwerven waar we nog geen idee van idee van hebben maar die stil worden gehouden in het criminele circuit / overheden dankzij partijen als Hacking Team.
Zeg nee tegen flash: http://occupyflash.org/
12:24 Anoniem
Iedere twee weken een ISO downloaden en branden is dat niet wat veel van het goede?
USB-stick met Live Linux Mint (of deepin?) werkt sneller en waarom die laatste patches?
Het juist leuk om af te zijn van wachtwoorden, updates en scans.
Voordat er malware op de computer verschijnt en gebruik kan maken van "lekken" zal de computer toch eerst met een besmettingsbron in contact moeten komen.
De kans op een actieve besmetting is klein, nauwelijks relevant en verdwijnt na een herstart.
Natuurlijk niet eerst allerlei verdachte sites bezoeken en daarna gaan internetbankieren!
"deepin" is mij onbekend, zal het eens downloaden om te zien of het voordeel heeft t.o.v. Mint.
En raakt de computer besmet, wat dan nog?
Mijn (primitieve) oplossing:
Oude Laptop zonder HD.
Opstarten met Live Linux Mint.
Geen gevoelige gegevens typen en alles bezoeken/openen wat ik interessant vind.
Wil ik iets bewaren dan doe ik dat op een daarvoor gereserveerde USB-stick.
En raakt de computer besmet, wat dan nog?
Maar ik zie het probleem niet zo. Flash is leuk maar verre van noodzakelijk. Een goede browser (iets met click-to-play) en een adblocker, werken onder beperkte rechten en EMET installeren voorkomt een hoop gedoe. Hoef je ook niet te lopen slepen met oude laptops.
Mijn (primitieve) oplossing:
Oude Laptop zonder HD.
Opstarten met Live Linux Mint.
Geen gevoelige gegevens typen en alles bezoeken/openen wat ik interessant vind.
Wil ik iets bewaren dan doe ik dat op een daarvoor gereserveerde USB-stick.
En raakt de computer besmet, wat dan nog?
Maar ik zie het probleem niet zo. Flash is leuk maar verre van noodzakelijk. Een goede browser (iets met click-to-play) en een adblocker, werken onder beperkte rechten en EMET installeren voorkomt een hoop gedoe. Hoef je ook niet te lopen slepen met oude laptops.
12:24 Anoniem
"Slepen met oude laptops" valt wel mee. Ik maak veel gebruik van onbeveiligde openbare netwerken onderweg (ontspanning: nieuws lezen, muziek luisteren, filmpje kijken enz. geen gevoelige zaken) en wil mij daarbij geen zorgen maken om de veiligheid. De kans is klein maar als de computer wordt overgenomen of als er wordt meegekeken boeit dat niet, er valt toch niets te halen.
Naar mijn mening niet erg ethisch en zoals nu al blijkt zeer gevaarlijk. Daarbij is de grens wel heel erg vaag aan het worden tussen de malware toolkits en dergelijke software. De laatste is dan legaal, al is de intentie hetzelfde.
Bedankt, ik bleef ook hangen in "leer er mee leven".
Te druk met dweilen, helemaal de kraan vergeten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.