En anden Adobe Flash Zero-day sårbarhed opdaget
Cyberkriminelle fandt et nyt trick til at bruge Adobe Flash til at starte ondsindede angreb. For nylig opdagede forskere endnu en nul-dag[1] fejl, der er blevet udnyttet i Mellemøsten via Microsoft Excel-dokument.[2]
Det ondsindede dokument er blevet opdaget spredes via e-mails. Det indeholder dog ikke noget ondsindet indhold indeni. Men når et mål åbner Excel-fil, kalder det fjernadgangsserveren for at downloade ondsindet indhold for at udnytte fejlen i Adobe Flash. Denne teknik gør det muligt at undgå antivirusdetektion.
Forskere antager, at dette angreb blev afholdt i Qatar:
Qatar, fordi domænenavnet brugt af angriberne var 'people.dohabayt[.]com', som inkluderer 'Doha', Qatars hovedstad. Domænet ligner også et legitimt mellemøstlig rekrutteringswebsted 'bayt[.]com'.[3]
Den ondsindede Excel-fil inkluderede også indhold på det arabiske sprog. Det ser ud til, at hovedmålene kan være ambassadearbejdere, såsom ambassadører, sekretærer og andre diplomater. Heldigvis blev fejlen rettet, og brugere opfordres til at installere opdateringer (CVE-2018-5002).
Den sofistikerede teknik gør det muligt at udnytte Flash-sårbarheden uden at blive opdaget af antivirus
Ondsindede vedhæftede filer kan nemt identificeres af de store sikkerhedsprogrammer. Men denne gang fandt angribere en måde at omgå detektion, fordi selve filen ikke er farlig.
Denne teknik gør det muligt at udnytte Flash fra en ekstern server, når en bruger åbner en kompromitteret Excel-fil. Derfor kan sikkerhedsprogrammer ikke markere denne fil som farlig, fordi den faktisk ikke indeholder skadelig kode.
I mellemtiden anmoder denne fil om en ondsindet Shock Wave Flash (SWF)[4] fil, som er downloadet fra fjerndomænet. Denne fil bruges til at installere og udføre skadelig shell-kode, som er ansvarlig for at indlæse trojan. Ifølge forskerne er det mest sandsynligt, at denne trojan åbner bagdøren på den berørte maskine.
Desuden er kommunikationen mellem en målrettet enhed og ekstern hackers server sikret med en kombination af symmetriske AES og asymmetriske RSA-krypteringskoder:
"For at dekryptere datanyttelasten dekrypterer klienten den krypterede AES-nøgle ved hjælp af dens tilfældigt genererede private nøgle og dekrypterer derefter datanyttelasten med den dekrypterede AES-nøgle.
Det ekstra lag af offentlig nøglekryptografi, med en tilfældigt genereret nøgle, er afgørende her. Ved at bruge det skal man enten gendanne den tilfældigt genererede nøgle eller knække RSA-krypteringen for at analysere efterfølgende lag af angrebet."[Kilde: Icebrg]
Adobe udgav en opdatering for at rette denne kritiske fejl
Adobe har allerede udgivet en opdatering til Adobe Flash Player til Windows, macOS, Linux og Chrome OS. Den kritiske sårbarhed blev opdaget i 29.0.0.171 og tidligere versioner af programmet. Derfor opfordres brugerne til at opdatere til 30.0.0.113 version med det samme.
Adobe udgav CVE-2018-5002[5] patch, der afgiver en advarsel, så åbner en bruger en sløret Excel-fil. Prompten advarer om potentielle farer, der kan opstå efter indlæsning af fjernindholdet.
Installation af opdateringerne er mulig via opdateringstjenester i programmet eller fra det officielle Adobe Flash Player Download Center. Vi vil gerne minde om, at pop-ups, annoncer eller tredjeparts downloadkilder ikke er et sikkert sted at installere opdateringer.