Ανακαλύφθηκε άλλη μια ευπάθεια του Adobe Flash Zero-day
Οι εγκληματίες του κυβερνοχώρου βρήκαν ένα νέο τέχνασμα για να χρησιμοποιήσουν το Adobe Flash για να εξαπολύσουν κακόβουλες επιθέσεις. Πρόσφατα, οι ερευνητές ανακάλυψαν μια άλλη ημέρα μηδέν[1] ελάττωμα που έχει αξιοποιηθεί στη Μέση Ανατολή μέσω του εγγράφου του Microsoft Excel.[2]
Το κακόβουλο έγγραφο έχει εντοπιστεί να εξαπλώνεται μέσω email. Ωστόσο, δεν περιλαμβάνει κακόβουλο περιεχόμενο μέσα. Ωστόσο, όταν ένας στόχος ανοίγει το αρχείο Excel, καλεί τον διακομιστή απομακρυσμένης πρόσβασης για λήψη κακόβουλου περιεχομένου για να εκμεταλλευτεί το ελάττωμα του Adobe Flash. Αυτή η τεχνική επιτρέπει την αποφυγή ανίχνευσης ιών.
Οι ερευνητές υποθέτουν ότι αυτή η επίθεση έγινε στο Κατάρ:
Κατάρ επειδή το όνομα τομέα που χρησιμοποιούσαν οι επιτιθέμενοι ήταν «people.dohabayt[.]com», το οποίο περιλαμβάνει τη «Ντόχα», την πρωτεύουσα του Κατάρ. Ο τομέας είναι επίσης παρόμοιος με έναν νόμιμο ιστότοπο πρόσληψης στη Μέση Ανατολή «bayt[.]com».[3]
Το κακόβουλο αρχείο Excel περιλάμβανε επίσης περιεχόμενο στην αραβική γλώσσα. Φαίνεται ότι οι κύριοι στόχοι μπορεί να είναι οι εργαζόμενοι στις πρεσβείες, όπως πρεσβευτές, γραμματείς και άλλοι διπλωμάτες. Ευτυχώς, το ελάττωμα διορθώθηκε και οι χρήστες καλούνται να εγκαταστήσουν ενημερώσεις (CVE-2018-5002).
Η εξελιγμένη τεχνική επιτρέπει την εκμετάλλευση ευπάθειας του Flash χωρίς εντοπισμό από ιούς
Τα κακόβουλα συνημμένα email μπορούν εύκολα να εντοπιστούν από τα μεγάλα προγράμματα ασφαλείας. Ωστόσο, αυτή τη φορά οι εισβολείς βρήκαν έναν τρόπο να παρακάμψουν τον εντοπισμό επειδή το ίδιο το αρχείο δεν είναι επικίνδυνο.
Αυτή η τεχνική επιτρέπει την εκμετάλλευση του Flash από έναν απομακρυσμένο διακομιστή όταν ένας χρήστης ανοίγει ένα παραβιασμένο αρχείο Excel. Επομένως, τα προγράμματα ασφαλείας δεν μπορούν να επισημάνουν αυτό το αρχείο ως επικίνδυνο επειδή στην πραγματικότητα δεν περιλαμβάνει κακόβουλο κώδικα.
Εν τω μεταξύ, αυτό το αρχείο ζητά ένα κακόβουλο Shock Wave Flash (SWF)[4] αρχείο που λαμβάνεται από τον απομακρυσμένο τομέα. Αυτό το αρχείο χρησιμοποιείται για την εγκατάσταση και την εκτέλεση κακόβουλου κώδικα κελύφους που είναι υπεύθυνος για τη φόρτωση του trojan. Σύμφωνα με τους ερευνητές, αυτός ο trojan είναι πιο πιθανό να ανοίξει την κερκόπορτα στο επηρεασμένο μηχάνημα.
Επιπλέον, η επικοινωνία μεταξύ μιας στοχευμένης συσκευής και του διακομιστή απομακρυσμένου χάκερ είναι ασφαλής με έναν συνδυασμό συμμετρικών κρυπτογράφησης AES και ασύμμετρων κρυπτογράφησης RSA:
«Για την αποκρυπτογράφηση του ωφέλιμου φορτίου δεδομένων, ο πελάτης αποκρυπτογραφεί το κρυπτογραφημένο κλειδί AES χρησιμοποιώντας το τυχαία δημιουργημένο ιδιωτικό του κλειδί και, στη συνέχεια, αποκρυπτογραφεί το ωφέλιμο φορτίο δεδομένων με το αποκρυπτογραφημένο κλειδί AES.
Το επιπλέον επίπεδο κρυπτογραφίας δημόσιου κλειδιού, με ένα κλειδί που δημιουργείται τυχαία, είναι ζωτικής σημασίας εδώ. Χρησιμοποιώντας το, κάποιος πρέπει είτε να ανακτήσει το κλειδί που δημιουργήθηκε τυχαία είτε να σπάσει την κρυπτογράφηση RSA για να αναλύσει τα επόμενα επίπεδα της επίθεσης.»[Πηγή: Icebrg]
Η Adobe κυκλοφόρησε μια ενημέρωση για να διορθώσει αυτό το κρίσιμο ελάττωμα
Η Adobe κυκλοφόρησε ήδη μια ενημέρωση για το Adobe Flash Player για Windows, macOS, Linux και Chrome OS. Η κρίσιμη ευπάθεια εντοπίστηκε στην 29.0.0.171 και σε παλαιότερες εκδόσεις του προγράμματος. Ως εκ τούτου, οι χρήστες καλούνται να ενημερώσουν αμέσως την έκδοση 30.0.0.113.
Η Adobe κυκλοφόρησε το CVE-2018-5002[5] ενημερωμένη έκδοση κώδικα που παρέχει μια προειδοποίηση και στη συνέχεια ένας χρήστης ανοίγει ένα ασαφές αρχείο Excel. Η προτροπή προειδοποιεί για πιθανούς κινδύνους που ενδέχεται να προκύψουν μετά τη φόρτωση του απομακρυσμένου περιεχομένου.
Η εγκατάσταση των ενημερώσεων είναι δυνατή μέσω των υπηρεσιών ενημέρωσης στο πρόγραμμα ή από το επίσημο Κέντρο λήψης του Adobe Flash Player. Θέλουμε να υπενθυμίσουμε ότι τα αναδυόμενα παράθυρα, οι διαφημίσεις ή οι πηγές λήψης τρίτων δεν είναι ασφαλές μέρος για την εγκατάσταση ενημερώσεων.