Byla objevena další zranitelnost Adobe Flash Zero-day
Kybernetičtí zločinci našli nový trik, jak pomocí Adobe Flash spustit škodlivé útoky. Nedávno vědci objevili další zero-day[1] chyba, která byla zneužita na Středním východě prostřednictvím dokumentu Microsoft Excel.[2]
Škodlivý dokument byl spatřen, jak se šíří prostřednictvím e-mailů. Neobsahuje však uvnitř žádný škodlivý obsah. Když však cíl otevře soubor aplikace Excel, zavolá server vzdáleného přístupu, aby stáhl škodlivý obsah a využil tak chybu v Adobe Flash. Tato technika umožňuje vyhnout se antivirové detekci.
Výzkumníci předpokládají, že k tomuto útoku došlo v Kataru:
Katar, protože název domény používaný útočníky byl 'people.dohabayt[.]com', což zahrnuje 'Doha', hlavní město Kataru. Doména je také podobná legitimnímu náborovému webu na Středním východě ‚bayt[.]com‘.[3]
Škodlivý soubor Excel také obsahoval obsah v arabském jazyce. Zdá se, že hlavním cílem mohou být pracovníci ambasád, jako jsou velvyslanci, sekretářky a další diplomaté. Naštěstí byla chyba opravena a uživatelé jsou vyzýváni, aby si nainstalovali aktualizace (CVE-2018-5002).
Sofistikovaná technika umožňuje zneužít zranitelnost Flash, aniž by byla detekována antivirem
Škodlivé e-mailové přílohy lze snadno identifikovat hlavními bezpečnostními programy. Tentokrát však útočníci našli způsob, jak detekci obejít, protože samotný soubor není nebezpečný.
Tato technika umožňuje využít Flash ze vzdáleného serveru, když uživatel otevře kompromitovaný soubor Excel. Bezpečnostní programy proto nemohou tento soubor označit jako nebezpečný, protože ve skutečnosti neobsahuje škodlivý kód.
Mezitím tento soubor požaduje škodlivý Shock Wave Flash (SWF)[4] soubor, který je stažen ze vzdálené domény. Tento soubor se používá k instalaci a spouštění škodlivého kódu shellu, který je zodpovědný za načítání trojského koně. Podle výzkumníků tento trojan s největší pravděpodobností otevře zadní vrátka na postiženém počítači.
Komunikace mezi cílovým zařízením a serverem vzdáleného hackera je navíc zabezpečena kombinací symetrických šifrovacích šifer AES a asymetrických RSA:
„K dešifrování datové části klient dešifruje zašifrovaný klíč AES pomocí svého náhodně vygenerovaného soukromého klíče a poté dešifruje datovou část pomocí dešifrovaného klíče AES.
Zde je klíčová další vrstva kryptografie veřejného klíče s náhodně generovaným klíčem. Při jeho použití je nutné buď obnovit náhodně vygenerovaný klíč, nebo prolomit šifrování RSA, aby bylo možné analyzovat následné vrstvy útoku.“[Zdroj: Icebrg]
Společnost Adobe vydala aktualizaci, která tuto kritickou chybu opravuje
Společnost Adobe již vydala aktualizaci pro Adobe Flash Player pro Windows, macOS, Linux a Chrome OS. Kritická chyba zabezpečení byla zjištěna ve verzi 29.0.0.171 a dřívějších verzích programu. Uživatelé jsou proto vyzýváni, aby okamžitě aktualizovali na verzi 30.0.0.113.
Společnost Adobe vydala CVE-2018-5002[5] oprava, která zobrazí varování a poté uživatel otevře zmatený soubor aplikace Excel. Výzva varuje před potenciálními nebezpečími, která mohou nastat po načtení vzdáleného obsahu.
Instalace aktualizací je možná prostřednictvím aktualizačních služeb v programu nebo z oficiálního centra stahování Adobe Flash Player. Chceme připomenout, že vyskakovací okna, reklamy nebo zdroje stahování třetích stran nejsou bezpečným místem pro instalaci aktualizací.