Kwetsbaarheid in Adobe Flash Player

Adobe Flash Player: wie is er niet groot mee geworden? Van oudsher is deze software aanwezig in bijna alle browsers, en wordt het gebruikt om animaties, video’s, en grootschalige web content weer te geven. De laatste jaren heeft Flash behoorlijk aan populariteit verloren, dankzij kritieken op de mobiele performance, maar vooral dankzij de vele kwetsbaarheden die steeds maar weer de kop opduiken. Deze week kwam er echter een vulnerability naar voren die alle eerdere veiligheidsproblemen in Flash in het stof doen bijten.

Wat is het: CVE-2018-4878
De kwetsbaarheid CVE-2018-4878 is een Use After Free vulnerability die remote code execution toestaat op een getroffen systeem, waarmee effectief gezien een complete computer overgenomen kan worden door de aanvaller. De vulnerability wordt geïnitieerd wanneer het doelwit een Microsoft Excel-document downloadt en opent. Op dat moment wordt er een SWF-object opgestart, waarmee content van een externe bron gedownload en uitgevoerd wordt.

De content die gedownload wordt is een variant op een Remote Administration Tool, of RAT. Dit is een type software dat een gebruiker in staat stelt om een computer op afstand over te nemen. Hoewel dit ook legitieme toepassingen kent, worden RATs vaker gebruikt als virus, waarbij de computer van het slachtoffer wordt overgenomen.

Talos, de security-afdeling van industriegigant Cisco, heeft de vulnerability terug weten te leiden naar de Zuid-Koreaanse hackergroep Group 123, die vaker gebruik maken van dergelijke vulnerabilities. De zero-day exploit die aan het licht is gekomen werd ook gevonden in Zuid-Korea en maakte misbruik van  Zuid-Koreaanse domeinen om de kwaadaardige content vandaan te downloaden.

Wat kunt u doen?
Adobe heeft een update uitgebracht die het lek zou moeten dichten. Het is dus belangrijk om, wanneer u nog gebruik maakt van Flash, uw installatie te patchen. Adobe raadt ook aan om te overwegen gebruik te maken van de Protected View setting in Microsoft Office. Hiermee worden potentieel gevaarlijke bestanden standaard geopend in Read Only modus. Daarnaast staat het natuurlijk buiten kijf dat u niet zomaar bestanden downloadt en opent van onbekende bronnen.

Ten slotte kunt u er nog voor kiezen om Flash Player niet zomaar toestemming te geven om content uit te laten voeren, door bijvoorbeeld de Click to Play optie te gebruiken in uw browser. U kunt er ook nog voor kiezen om Flash Player helemaal te deïnstalleren. Wees er wel op voorbereid dat er mogelijk applicaties en addons zijn die niet kunnen werken zonder Flash Player.

Qualys Cloud Agents
Qualys heeft deze vulnerability ook opgenomen in hun Vulnerability Management module, die kan samenwerken met de Qualys Cloud Agents. Deze handige tool maakt een blauwdruk van een computer, server, of applicatie, en kan daardoor gemakkelijk uitlezen of de versie van Flash nog geüpdatet moet worden. Deze melding wordt vervolgens weergegeven in de Qualys Assets Inventory, waardoor u in één oogopslag kunt zien of, en welke, apparaten, servers, of applicaties nog bijgewerkt moeten worden. Wilt u meer weten over deze mogelijkheid? Neem dan even contact met ons op, of kijk op onze website voor meer informatie over de security producten van Qualys.

Lees relevante artikelen

Categorie  SSL & Security Vulnerability of the Month | Tags  flash Security vulnerability