Zero-day kwetsbaarheden in Adobe Flash [update]

Zero-day kwetsbaarheden in Adobe Flash [update]

DearBytesAlertsZero-day kwetsbaarheden in Adobe Flash [update]

Wat is er aan de hand?

Op maandag 6 juli is er in Adobe Flash software (versie 9+) een nieuwe kwetsbaarheid (CVE-2015-5119) openbaar gemaakt. De volledige exploit-code is aangetroffen in een data dump van het gehackte bedrijf: Hacking Team. Hacking Team is een organisatie die bedrijven en overheden helpt om computersystemen binnen te dringen. Onderdeel van de dienstverlening is het aanleveren van nieuwe methodes en technieken om heimelijk in te breken in digitale omgevingen, zogeheten zero-day-exploits. Als gevolg van het Hacking Teak datalek zijn deze technieken openbaar geworden. De kwetsbaarheid in Adobe Flash betreft een dergelijke zero-day-exploit en is nog niet gepatcht.

Waarom is dit belangrijk?

Flash is een plugin die wereldwijd wordt gebruikt door de meeste webbrowsers, waaronder Internet Explorer, Firefox en Chrome. Flash wordt eveneens gebruikt in een brede selectie van services, zoals webvideo’s, maar ook reclame komt vaak in Flash vorm. Door misbruik te maken van de kwetsbaarheid kan een aanvaller op afstand kwaadaardige code op een computer uitvoeren. Zo kan volledige controle verkregen worden over het systeem en daarop aanwezige data. De voorbeeldcode die tijdens de hack van Hacking Team beschikbaar is gekomen is goed gedocumenteerd en leesbaar, het is om die reden te verwachten dat de eerste publieke aanvallen snel zullen volgen.

Update 8-7 : Op dit moment wordt de kwetsbaarheid al gebruikt door verschillende aanvallers, de beruchte Angler exploitkit maakt hier ook al gebruik van.

Update 11-7: Dit weekend zijn nog twee kwetsbaarheden publiek gemaakt, beiden kwetsbaarheden zijn door Adobe van een patch voorzien. De kwetsbaarheden worden aangeduid met CVE-2015-5122 en CVE-2015-5123 en zijn aanwezig in respectievelijk: Adobe versie 18.0.0.203 en 18.0.0.204. Het is te verwachten dat beide nieuwe exploits binnen aanzienbaren tijd gebruikt worden voor publieke aanvallen.

Op wie is dit van toepassing?

Alle systemen waarop Flash geïnstalleerd is zijn kwetsbaar voor dit lek. Chrome is een uitzondering omdat de code in een sandbox-omgeving wordt uitgevoerd (meer informatie is hier te vinden: https://en.wikipedia.org/wiki/Sandbox_(computer_security) ). Chrome gebruikers zijn derhalve voorlopig alleen kwetsbaar wanneer de browser zonder sandbox wordt gebruikt, wat standaard niet het geval is.

Wat kunt u doen?

Een officiële patch zal hoogstwaarschijnlijk 8 juli worden uitgebracht door Adobe. Tot de patch is geïnstalleerd adviseren wij om de Flash-plugin in de browser tijdelijk uit te schakelen. Als dit niet mogelijk is omdat bepaalde applicaties Flash nodig hebben is het aan te raden om de automatische executie van Flash software te blokkeren.

Voor meer informatie hoe Flash te blokkeren met behulp van McAfee Web Gateway zie: https://www.dearbytes.com/blog/adobe-flash-blokkeren-in-web-gateway/

Update 13-07: de laatst beschikbare Flash versie is 18.0.0.204, op maandag 13 juli wordt door Adobe een update verwacht die ook CVE-2015-5123 verhelpt.

Wat doet DearBytes Managed Services?

Voor klanten waar DearBytes vulnerability management uitvoert, zal een inventarisatie gemaakt worden van kwetsbare systemen zodra hiervoor een update van McAfee MVM beschikbaar is. Deze inventarisatie zal aan u gerapporteerd worden.

Voor klanten waar DearBytes het beheer uitvoert van Intrusion Prevention / Detection zullen – zodra deze beschikbaar zijn – detectierules worden geactiveerd om misbruik te detecteren en na uw akkoord te blokkeren.