Otkrivena je još jedna ranjivost Adobe Flash Zero-day
Cyber kriminalci pronašli su novi trik za korištenje Adobe Flasha za pokretanje zlonamjernih napada. Nedavno su istraživači otkrili još jedan nulti dan[1] nedostatak koji je iskorišten na Bliskom istoku putem Microsoft Excel dokumenta.[2]
Uočeno je da se zlonamjerni dokument širi putem e-pošte. Međutim, ne uključuje nikakav zlonamjerni sadržaj unutra. Međutim, kada cilj otvori Excel datoteku, poziva poslužitelj udaljenog pristupa da preuzme zlonamjerni sadržaj kako bi iskoristio nedostatak u Adobe Flashu. Ova tehnika omogućuje izbjegavanje antivirusnog otkrivanja.
Istraživači pretpostavljaju da je ovaj napad održan u Kataru:
Katar jer je naziv domene koji su koristili napadači bio 'people.dohabayt[.]com', što uključuje 'Doha', glavni grad Katara. Domena je također slična legitimnoj web stranici za zapošljavanje na Bliskom istoku 'bayt[.]com'.[3]
Zlonamjerna Excel datoteka također je uključivala sadržaj na arapskom jeziku. Čini se da bi glavne mete mogli biti radnici veleposlanstva, poput veleposlanika, tajnika i drugih diplomata. Na sreću, nedostatak je zakrpljen i korisnici se pozivaju da instaliraju ažuriranja (CVE-2018-5002).
Sofisticirana tehnika omogućuje iskorištavanje Flash ranjivosti bez da je antivirusni program otkrije
Glavni sigurnosni programi mogu lako prepoznati zlonamjerne privitke e-pošte. Međutim, ovaj put su napadači pronašli način da zaobiđu detekciju jer sama datoteka nije opasna.
Ova tehnika omogućuje iskorištavanje Flasha s udaljenog poslužitelja kada korisnik otvori ugroženu Excel datoteku. Stoga sigurnosni programi ne mogu označiti ovu datoteku kao opasnu jer zapravo ne uključuje zlonamjerni kod.
U međuvremenu, ova datoteka zahtijeva zlonamjerni Shock Wave Flash (SWF)[4] datoteka koja se preuzima s udaljene domene. Ova datoteka se koristi za instaliranje i izvršavanje zlonamjernog shell koda koji je odgovoran za učitavanje trojanaca. Prema istraživačima, ovaj trojanac će najvjerojatnije otvoriti stražnja vrata na zahvaćenom stroju.
Štoviše, komunikacija između ciljanog uređaja i udaljenog hakerskog poslužitelja osigurana je kombinacijom simetričnih AES i asimetričnih RSA šifriranja:
“Da bi dešifrirao korisni teret podataka, klijent dešifrira šifrirani AES ključ koristeći svoj nasumično generirani privatni ključ, a zatim dešifrira korisni teret podataka dešifriranim AES ključem.
Dodatni sloj kriptografije javnog ključa, s nasumično generiranim ključem, ovdje je ključan. Koristeći ga, mora se ili oporaviti nasumično generirani ključ ili probiti RSA enkripcija kako bi se analizirali sljedeći slojevi napada.”[Izvor: Icebrg]
Adobe je objavio ažuriranje kako bi popravio ovaj kritični nedostatak
Adobe je već objavio ažuriranje za Adobe Flash Player za Windows, macOS, Linux i Chrome OS. Kritična ranjivost otkrivena je u 29.0.0.171 i starijim verzijama programa. Stoga se korisnici pozivaju da odmah ažuriraju na verziju 30.0.0.113.
Adobe je objavio CVE-2018-5002[5] zakrpa koja isporučuje upozorenje, a zatim korisnik otvara zamagljenu Excel datoteku. Prompt upozorava na potencijalne opasnosti koje se mogu pojaviti nakon učitavanja udaljenog sadržaja.
Instalacija ažuriranja moguća je putem servisa ažuriranja u programu ili iz službenog centra za preuzimanje Adobe Flash Playera. Želimo podsjetiti da skočni prozori, oglasi ili izvori preuzimanja trećih strana nisu sigurno mjesto za instaliranje ažuriranja.