Toinen Adobe Flash Zero-day -haavoittuvuus löydetty
Kyberrikolliset löysivät uuden tempun käyttää Adobe Flashia haitallisten hyökkäysten käynnistämiseen. Äskettäin tutkijat löysivät toisen nollapäivän[1] Virhe, jota on hyödynnetty Lähi-idässä Microsoft Excel -dokumentin kautta.[2]
Haitallinen asiakirja on havaittu leviävän sähköpostien välityksellä. Se ei kuitenkaan sisällä haitallista sisältöä. Kun kohde kuitenkin avaa Excel-tiedoston, se soittaa etäkäyttöpalvelimelle ladatakseen haitallista sisältöä Adobe Flashin puutteen hyödyntämiseksi. Tämä tekniikka mahdollistaa virustentorjunnan välttämisen.
Tutkijat olettavat, että tämä hyökkäys tehtiin Qatarissa:
Qatar, koska hyökkääjien käyttämä verkkotunnus oli "people.dohabayt[.]com", joka sisältää Qatarin pääkaupungin "Doha". Verkkotunnus on myös samanlainen kuin laillinen Lähi-idän rekrytointisivusto "bayt[.]com".[3]
Haitallinen Excel-tiedosto sisälsi myös arabiankielistä sisältöä. Näyttää siltä, että pääkohteet saattavat olla suurlähetystöjen työntekijät, kuten suurlähettiläät, sihteerit ja muut diplomaatit. Onneksi virhe korjattiin ja käyttäjiä kehotetaan asentamaan päivitykset (CVE-2018-5002).
Kehittynyt tekniikka mahdollistaa Flash-haavoittuvuuden hyödyntämisen ilman, että virustorjunta havaitsee sitä
Tärkeimmät tietoturvaohjelmat tunnistavat helposti haitalliset sähköpostiliitteet. Tällä kertaa hyökkääjät löysivät kuitenkin tavan ohittaa havaitseminen, koska tiedosto itsessään ei ole vaarallinen.
Tämä tekniikka mahdollistaa Flashin hyödyntämisen etäpalvelimelta, kun käyttäjä avaa vaarantuneen Excel-tiedoston. Siksi suojausohjelmat eivät voi merkitä tätä tiedostoa vaaralliseksi, koska se ei itse asiassa sisällä haitallista koodia.
Sillä välin tämä tiedosto pyytää haitallista Shock Wave Flash (SWF)[4] tiedosto, joka ladataan etätoimialueelta. Tätä tiedostoa käytetään haitallisen shell-koodin asentamiseen ja suorittamiseen, joka vastaa troijalaisen lataamisesta. Tutkijoiden mukaan tämä troijalainen avaa todennäköisimmin kyseisen koneen takaoven.
Lisäksi viestintä kohteena olevan laitteen ja etähakkerin palvelimen välillä on suojattu symmetristen AES- ja epäsymmetristen RSA-salausten yhdistelmällä:
"Tietojen hyötykuorman salauksen purkamiseksi asiakas purkaa salatun AES-avaimen satunnaisesti luodun yksityisen avaimen avulla ja purkaa sitten datahyötykuorman salauksen puretulla AES-avaimella.
Ylimääräinen julkisen avaimen salauskerros satunnaisesti luodulla avaimella on tässä ratkaisevan tärkeä. Sitä käyttämällä täytyy joko palauttaa satunnaisesti luotu avain tai murtaa RSA-salaus analysoidakseen hyökkäyksen myöhempiä kerroksia."[Lähde: Icebrg]
Adobe julkaisi päivityksen tämän kriittisen virheen korjaamiseksi
Adobe on jo julkaissut päivityksen Adobe Flash Playerille Windowsille, macOS: lle, Linuxille ja Chrome OS: lle. Kriittinen haavoittuvuus havaittiin 29.0.0.171:ssä ja ohjelman aiemmissa versioissa. Tästä syystä käyttäjiä kehotetaan päivittämään 30.0.0.113-versioon välittömästi.
Adobe julkaisi CVE-2018-5002[5] korjaustiedoston, joka antaa varoituksen, sitten käyttäjä avaa obfuskoidun Excel-tiedoston. Kehote varoittaa mahdollisista vaaroista, joita saattaa ilmetä etäsisällön lataamisen jälkeen.
Päivitysten asentaminen on mahdollista ohjelman päivityspalveluiden kautta tai virallisesta Adobe Flash Player -latauskeskuksesta. Haluamme muistuttaa, että ponnahdusikkunat, mainokset tai kolmannen osapuolen latauslähteet eivät ole turvallinen paikka päivitysten asentamiseen.