Het gloednieuwe Flash-lek lijkt samen met de 'bezorgmethode' voor de exploit ervan sterk op de aanval die vorige maand aan het licht kwam. Toen was Microsofts spreadsheet Excel het middel waarmee malafide Flash-bestanden werden bezorgd bij slachtoffers. Beveiligingsbedrijf RSA is langs deze weg gehackt, waarbij nog onbekende informatie is buitgemaakt.

Gerichte aanvallen

Security-expert Roel Schouwenberg van antivirusleverancier Kaspersky blogt dat dit misschien zelfs dezelfde daders kunnen zijn. "En als het niet dezelfde bende is, dan zijn de aanvallers in ieder geval geïnspireerd door het vorige security-incident [met Flash - red.]." Het gaat ook nu om gerichte aanvallen op specifieke bedrijven en organisaties. De malware installeert backdoors op Windows 7 en XP.

Adobe onderzoekt de kwestie nu. De softwareproducent verklaart tegenover de Britse ict-nieuwssite The Register dat er - voor zover het weet - geen exploits rondwaren die direct mikken op de Flash- of Reader-software van het bedrijf zelf. De gratis pdf-leesapplicatie van Adobe kan Flash ook embedded hebben en draagt het nu ontdekte 0-day lek ook in zich. De door security-onderzoekers gedetecteerde aanvallen pakken inderdaad niet direct die Adobe-software, maar benutten het veelgebruikte Word in Microsoft Office.

China

De malware, verstopt in een Word-document, komt bij slachtoffers binnen als attachment bij een e-mail over antimonopoliewetten in China. Het bijgevoegde tekstdocument (Disentangling Industrial Policy and Compeition Policy.doc) is zogenaamd een artikel hierover, waarin hoge Chinese overheidsfunctionarissen worden geïnterviewd. Die insteek van de phishing-mail doet vermoeden dat het doelwit multinationals zijn met belangen en activiteiten in China.

Het Flash-lek van vorige maand, dat via Excel werd uitgebuit, is gedicht met een noodpatch. Het is niet bekend of Adobe weer met een patch komt om dit lek te dichten buiten de reguliere patchcyclus om. Het bedrijf heeft al wel verklaard dat een patch voor Reader niet vóór mid juni af is. Dan is de volgende patchronde in Adobe's kwartaalcyclus voor Reader.

Sandboxbescherming

De ingebouwde isolatie (sandbox) in de meest recente versie X (10) van Adobe Reader biedt gebruikers bescherming tegen malware. De nieuwste versie 2010 van Microsoft Office heeft ook sandboxing die de malware aan banden legt. Oudere, nog veelgebruikte Office-versies zijn wel kwetsbaar.

Tot op heden wordt de malware niet gedetecteerd door securitysoftware. Van de 42 pakketten die scanservice VirusTotal omvat, is er nu maar één (TrendMicro HouseCall) die alarm slaat. Een ander pakket (Commtouch) ziet de malware aan voor een andere, oudere backdoor (MSWord/Dropper.B!Camelot) aan; een false-positive dus.