Flash Player har nok en gang blitt utnyttet i angrep, men angrepene har samtidig utnyttet sårbarheter eller mangler i annen, ikke-oppdatert eller utdatert programvare.

Enda en nødfiks til Flash Player

Andre gang på få uker.

Adobe kom i går med en ekstraordinær sikkerhetsoppdatering til Flash Player, den andre så langt i februar. Årsaken til at sikkerhetsfiksen utgis allerede nå, i stedet i en ordinær utgivelse, er en nulldagsårbarhet (CVE-2014-0502) som allerede utnyttes i angrep.

Sikkerhetsoppdateringen er tilgjengelig for Windows, Linux og OS X. Oppdateringen er inkludert i de nyeste utgavene av Google Chrome og Internet Explorer 10 og nyere.

Sikkerhetsselskapet FireEye er blant dem som krediteres for oppdagelsen. Selskapet skriver i et blogginnlegg at det dreier seg om en rettet angrepskampanje, «Operation GreedyWonk», hvor besøkende på nettstedene til minst tre non-profit-organisasjoner har blitt omdirigert til server hvor skadevare var til stede. To av de tre organisasjonene skal ha fokus på nasjonal sikkerhet og grunnleggende rettsprinsipper. Det er dermed snakk om typiske vannhull-angrep.

Datatyveri

FireEye mener at det er ressurssterke krefter som står bak, og at hensikten med angrepene er datatyveri, inkludert informasjon relatert til blant annet forsvarsspørsmål.

Ifølge sikkerhetsselskapet skal oppdagelsen ha skje allerede den 13. februar, da de som besøkte nettstedet til Peter G. Peterson Institute for International Economics ble omdirigert til et nettsted hvor angrepskode ble kjørt via en skjult iframe.

Senere ble det oppdaget at også besøkende fra American Research Center in Egypt og Smith Richardson Foundation ble ledet til den samme serveren.

Sårbarheten i Flash Player skal ha gjort det mulig for angrepskoden å overskrive vftable-pekeren til et Flash-objekt for å omdirigere kodekjøringen. Men også ASLR-beskyttelsen (Address Space Layout Randomization) i Windows har blitt omgått ved å utnytte svakheter i annen programvare.

Kunne ha vært unngått

Windows fikk ASLR-støtte først i Windows Vista, så Windows XP-maskiner skal ha vært blant de utvalgte målene. Andre konfigurasjoner som angrepet ble rettet mot var Windows 7 med Java 6 (1.6) eller med en ikke-oppdatert utgave av Office 2007 eller 2010.

Java 6 har i utgangspunktet ikke blitt oppdatert på nærmere år, selv om det i ettertid har blitt funnet mange sårbarheter i programvaren. Oracle har bedt brukerne oppgradere til Java 7 i stedet. Office-pakkene kan på sin oppdateres via Microsoft Update-tjenesten.

Det er altså slik at angrepet ikke var mulig å utføre mot systemer med helt oppdatert programvare og Windows Vista eller nyere – eventuelt et helt annet operativsystem. Dette til tross for sårbarheten i Flash Player.

    Les også:

Til toppen