De recente hack van beveiligingsleverancier RSA vond zijn oorsprong in een ongepatchte kwetsbaarheid in de Adobe Flash Player. Dat schrijft het hoofd nieuwe technologie Uri Rivner vrijdag 1 april op een blogpost.
'De aanvaller zond twee verschillende phishing mails in een periode van twee dagen', schrijft Rivner op de momenteel moeilijk bereikbare weblog. 'De mails werden naar twee kleine groepen werknemers verzonden. Deze gebruikers waren niet hoog in rang en zelf ook geen belangrijke doelwitten. Het onderwerp van de mail was '2011 Recruitment Plan' (Aanwervingsplan 2011). De mail was slim genoeg in elkaar gezet om één werknemer zo gek te krijgen deze uit de map met verwijderde mails te halen en het bijbehorende Excel-bestand te openen.'
Adobe Flash
Het werkblad bevatte een ingebed Adobe Flash-bestand. Dat bestand maakte misbruik van een zero-day kwetsbaarheid binnen Adobe Flash en opende een 'backdoor'. Via deze achterdeur installeerde een aanvaller een tool voor beheer op afstand. Nadat hij de machine op deze manier had overgenomen, kon de aanvaller via het netwerk zijn diefstal plegen.
Dat gebeurde op het moment dat RSA de diefstal al had ontdekt. De inbreker had op een aantal plekken in het netwerk namelijk al gestolen data in gecomprimeerde vorm klaargezet op een RSA-bestandsserver. Deze data werd via FTP overgebracht naar een overgenomen externe machine bij een hosting provider.
Adobe heeft het lek overigens inmiddels gedicht.
SecurID
Hoewel de inbraak begin maart 2011 plaatsvond, heeft RSA nog steeds geen details gegeven over wat er exact gestolen is. Het enige wat het bedrijf heeft losgelaten is dat het gaat om informatie die verband houdt met de SecurID authenticatie-producten. Het bedrijf bezweert dat de diefstal het niet mogelijk maakt om SecurID-klanten rechtstreeks aan te vallen. Wel kan de informatie gebruikt worden om 'de effectiviteit van een bestaande twee-factor authenticatie-implementatie te verminderen, als onderdeel van een grotere aanval.' SecurID-technologie wordt onder meer door banken en overheidsinstellingen gebruikt voor authenticatie-doeleinden.
