Открита е друга уязвимост на Adobe Flash Zero-day
Кибер престъпниците откриха нов трик да използват Adobe Flash за стартиране на злонамерени атаки. Наскоро изследователите откриха друг нулев ден[1] недостатък, който е бил използван в Близкия изток чрез документ на Microsoft Excel.[2]
Злонамереният документ е забелязан да се разпространява чрез имейли. Въпреки това, той не включва злонамерено съдържание вътре. Въпреки това, когато целта отвори файл на Excel, тя извиква сървър за отдалечен достъп, за да изтегли злонамерено съдържание, за да използва недостатъка в Adobe Flash. Тази техника позволява да се избегне откриването на антивирусни програми.
Изследователите предполагат, че тази атака е била извършена в Катар:
Катар, защото името на домейна, използвано от нападателите, е „people.dohabayt[.]com“, което включва „Доха“, столицата на Катар. Домейнът също е подобен на легитимен уебсайт за набиране на персонал в Близкия изток „bayt[.]com“.[3]
Зловредният файл на Excel включваше и съдържание на арабски език. Изглежда, че основните мишени може да са служители на посолствата, като посланици, секретари и други дипломати. За щастие, недостатъкът беше коригиран и потребителите са призовани да инсталират актуализации (CVE-2018-5002).
Усъвършенстваната техника позволява да се използва уязвимостта на Flash, без да бъде открита от антивирусна програма
Злонамерените прикачени имейли могат лесно да бъдат идентифицирани от основните програми за сигурност. Този път обаче нападателите намериха начин да заобиколят откриването, защото самият файл не е опасен.
Тази техника позволява използване на Flash от отдалечен сървър, когато потребителят отвори компрометиран файл на Excel. Следователно програмите за сигурност не могат да маркират този файл като опасен, защото всъщност не включва злонамерен код.
Междувременно този файл изисква злонамерена Shock Wave Flash (SWF)[4] файл, който се изтегля от отдалечения домейн. Този файл се използва за инсталиране и изпълнение на злонамерен шел код, който е отговорен за зареждането на троянски кон. Според изследователите този троянски кон най-вероятно ще отвори задната врата на засегнатата машина.
Освен това комуникацията между целево устройство и отдалечен сървър на хакер е защитена с комбинация от симетрични AES и асиметрични RSA криптиращи шифри:
„За да декриптира полезния товар на данните, клиентът декриптира криптирания AES ключ, използвайки своя произволно генериран частен ключ, след което декриптира полезния товар на данните с декриптирания AES ключ.
Допълнителният слой на криптографията с публичен ключ, с произволно генериран ключ, е от решаващо значение тук. Използвайки го, човек трябва или да възстанови произволно генерирания ключ, или да разбие RSA криптирането, за да анализира следващите слоеве на атаката.“ [Източник: Icebrg]
Adobe пусна актуализация, за да коригира този критичен недостатък
Adobe вече пусна актуализация за Adobe Flash Player за Windows, macOS, Linux и Chrome OS. Критичната уязвимост е открита в 29.0.0.171 и по-стари версии на програмата. Следователно потребителите се призовават незабавно да актуализират до версия 30.0.0.113.
Adobe пусна CVE-2018-5002[5] кръпка, която доставя предупреждение, след което потребителят отваря замъглен файл на Excel. Подканата предупреждава за потенциални опасности, които могат да възникнат след зареждане на отдалеченото съдържание.
Инсталирането на актуализациите е възможно чрез услуги за актуализиране в програмата или от официалния център за изтегляне на Adobe Flash Player. Искаме да напомним, че изскачащите прозорци, рекламите или източниците за изтегляне на трети страни не са безопасно място за инсталиране на актуализации.