Weer een nieuwe zero-day kwetsbaarheid in Adobe Flash ontdekt

Originele blogpost door 

Info SnippetVorige week maakten we al een melding van een zero-day kwetsbaarheid in Adobe Flash. Maar deze week is het opnieuw raak. Onze onderzoekers hebben ontdekt dat er een nieuwe zero-day exploit in Adobe Flash gebruikt wordt in malvertisement-aanvallen. De exploit treft de nieuwste versie van Adobe Flash en is geïdentificeerd als CVE-2015-0313. De eerste analyses suggereren dat dit uitgevoerd zou kunnen zijn door gebruik te maken van de Angler Exploit Kit. 

Volgens onze gegevens werden bezoekers van de populaire website dailymotion.com doorgestuurd naar een aantal websites die uiteindelijke leidde tot de URL hxxp: //www.retilio.com/skillt.swf, waar de exploit zelf was gehost. Het is overigens belangrijk te weten dat infectie automatisch plaatsvindt omdat advertenties juist zo zijn ontworpen dat zij automatisch laden, zodra een gebruiker een site bezoekt. Het is waarschijnlijk dat dit niet beperkt is gebleven tot alleen de Dailymotion website, omdat de infectie werd veroorzaakt door het reclame-platform en niet door de inhoud van de website zelf. Trend Micro detecteert deze exploit als SWF_EXPLOIT.MJST en blokkeert de bovengenoemde URL. De advertenties van deze bijzondere infectieketen lijken echter niet meer online te zijn.

Vanaf 14 januari volgen we deze aanval al en daarbij zagen we een piek rond 27 januari. Op basis van de informatie uit ons Smart Protection Network wordt duidelijk dat de meeste gebruikers die de malafide server hebben bezocht, afkomstig waren uit de Verenigde Staten.

Figure 1. Number of accessed counts to one of  the affected IP addresses

Figure 1. Number of accessed counts to one of the affected IP addresses

Waarschuwing en advies: schakel Flash Player uit
Het is echter belangrijk dat eindgebruikers en organisaties zich bewust zijn van de ernst van deze dreiging. Tot nu toe zagen we zo’n 3.294 hits gerelateerd aan de exploit en gezien het feit dat we al aanvallen hebben gezien, is het waarschijnlijk dat ook andere aanvallen gebruik zullen maken van deze zero-day. Dat zorgt dan ook voor een groot risico voor onbeschermde systemen. Omdat deze exploit van toepassing is op de laatste versie van Flash, 16.0.0.296, kunnen gebruikers de Flash Player het beste uitschakelen totdat een nieuwe, gepatchte versie beschikbaar is. Zoals gezegd wordt een patch deze week verwacht, meer informatie hierover met een advies van Adobe vind je hier.

Bestaande Sandbox met Script Analyzer Engine, dat onderdeel is van Trend Micro Deep Discovery, kan overigens ook worden gebruikt om deze dreiging te detecteren middels zijn gedrag, zonder engine of pattern update. De Browser Exploit Prevention feature in onze endpoint-producten waaronder Trend Micro Security, OfficeScan en Worry-Free Business Security blokkeert de exploit zodra de gebruiker de website bezoekt waar dit in is gehost.

Meer informatie over de Adobe Flash Player kwetsbaarheid kun je vinden op de TrendLabls Intelligence Blog of op het Security Intelligence news article. Laatstgenoemd artikel toont ook een infographic die laat zien hoe zero-day attacks via malvertisements werken.

Lees hier de originele Engelstalige blogpost.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.