Avastati veel üks Adobe Flashi nullpäeva haavatavus
Küberkurjategijad leidsid uue nipi, kuidas kasutada pahatahtlike rünnakute käivitamiseks Adobe Flashi. Hiljuti avastasid teadlased veel ühe nullpäeva[1] viga, mida on Lähis-Idas Microsoft Exceli dokumendi kaudu ära kasutatud.[2]
Pahatahtlikku dokumenti on märgatud levimas e-kirjade kaudu. Siiski ei sisalda see pahatahtlikku sisu. Kui sihtmärk avab Exceli faili, kutsub see aga Adobe Flashi vea ärakasutamiseks välja kaugjuurdepääsu serveri, et laadida alla pahatahtlikku sisu. See meetod võimaldab vältida viirusetõrje tuvastamist.
Teadlased oletavad, et see rünnak toimus Kataris:
Katar, kuna ründajate kasutatud domeeninimi oli "people.dohabayt[.]com", mis hõlmab Katari pealinna "Doha". Domeen sarnaneb ka seadusliku Lähis-Ida värbamisveebisaidiga „bayt[.]com”.[3]
Pahatahtlik Exceli fail sisaldas ka araabiakeelset sisu. Näib, et peamised sihtmärgid võivad olla saatkondade töötajad, nagu suursaadikud, sekretärid ja teised diplomaadid. Õnneks viga parandati ja kasutajatel palutakse installida värskendused (CVE-2018-5002).
Täiustatud tehnika võimaldab Flashi haavatavust ära kasutada ilma, et viirusetõrje seda tuvastaks
Pahatahtlikud meilimanused saavad hõlpsasti tuvastada suuremate turvaprogrammide abil. Kuid seekord leidsid ründajad võimaluse tuvastamisest mööda hiilida, sest fail ise pole ohtlik.
See tehnika võimaldab kasutada Flashi kaugserverist, kui kasutaja avab ohustatud Exceli faili. Seetõttu ei saa turvaprogrammid seda faili ohtlikuks märkida, kuna see tegelikult ei sisalda pahatahtlikku koodi.
Vahepeal taotleb see fail pahatahtlikku Shock Wave Flashi (SWF)[4] faili, mis laaditakse alla kaugdomeenist. Seda faili kasutatakse troojalaste laadimise eest vastutava pahatahtliku shellkoodi installimiseks ja käivitamiseks. Teadlaste sõnul avab see trooja kõige tõenäolisemalt mõjutatud masina tagaukse.
Lisaks on sihitud seadme ja kaughäkkeri serveri vaheline side turvatud sümmeetriliste AES-i ja asümmeetriliste RSA-krüpteerimisšifrite kombinatsiooniga:
"Andmekoormuse dekrüpteerimiseks dekrüpteerib klient krüptitud AES-võtme oma juhuslikult genereeritud privaatvõtmega, seejärel dekrüpteerib andmekoormuse dekrüpteeritud AES-võtmega.
Juhuslikult genereeritud võtmega avaliku võtme krüptograafia lisakiht on siin ülioluline. Seda kasutades tuleb kas taastada juhuslikult genereeritud võti või murda RSA-krüpteering, et analüüsida rünnaku järgnevaid kihte.”[Allikas: Icebrg]
Adobe andis selle kriitilise vea parandamiseks välja värskenduse
Adobe on juba välja andnud Adobe Flash Playeri värskenduse Windowsi, macOS-i, Linuxi ja Chrome OS-i jaoks. Kriitiline haavatavus tuvastati programmi versioonis 29.0.0.171 ja varasemates versioonides. Seetõttu soovitatakse kasutajatel viivitamatult värskendada versioonile 30.0.0.113.
Adobe andis välja CVE-2018-5002[5] plaaster, mis annab hoiatuse, siis avab kasutaja hägustatud Exceli faili. Viip hoiatab võimalike ohtude eest, mis võivad ilmneda pärast kaugsisu laadimist.
Värskenduste installimine on võimalik programmi värskendusteenuste kaudu või ametlikust Adobe Flash Playeri allalaadimiskeskusest. Soovime meelde tuletada, et hüpikaknad, reklaamid või kolmanda osapoole allalaadimisallikad ei ole värskenduste installimiseks turvaline koht.