Egy másik Adobe Flash nulladik napi sebezhetőséget fedeztek fel
A kiberbűnözők új trükköt találtak az Adobe Flash használatával rosszindulatú támadások indítására. A közelmúltban a kutatók egy újabb nulladik napot fedeztek fel[1] hiba, amelyet a Közel-Keleten a Microsoft Excel dokumentumon keresztül használtak ki.[2]
A rosszindulatú dokumentumot e-mailekben észlelték. Azonban nem tartalmaz rosszindulatú tartalmat. Amikor azonban egy cél megnyitja az Excel fájlt, felhívja a távelérési kiszolgálót, hogy rosszindulatú tartalmat töltsön le az Adobe Flash hibájának kihasználása érdekében. Ez a technika lehetővé teszi a víruskereső elkerülését.
A kutatók feltételezik, hogy ezt a támadást Katarban hajtották végre:
Katar, mert a támadók által használt domain név a „people.dohabayt[.]com” volt, amely magában foglalja a „Dohát”, Katar fővárosát is. A domain hasonló egy legitim közel-keleti „bayt[.]com” toborzási webhelyhez.[3]
A rosszindulatú Excel-fájl arab nyelvű tartalmat is tartalmazott. Úgy tűnik, hogy a fő célpontok a követségi dolgozók, például nagykövetek, titkárok és más diplomaták lehetnek. Szerencsére a hibát kijavították, és a felhasználókat arra kérik, hogy telepítsenek frissítéseket (CVE-2018-5002).
A kifinomult technika lehetővé teszi a Flash sebezhetőségének kihasználását anélkül, hogy a víruskereső észlelné
A rosszindulatú e-mail mellékleteket a fő biztonsági programok könnyen azonosíthatják. A támadók azonban ezúttal megtalálták a módját az észlelés megkerülésére, mivel maga a fájl nem veszélyes.
Ez a technika lehetővé teszi a Flash kihasználását egy távoli szerverről, amikor a felhasználó megnyit egy feltört Excel-fájlt. Ezért a biztonsági programok nem jelölhetik meg veszélyesként ezt a fájlt, mivel valójában nem tartalmaz rosszindulatú kódot.
Eközben ez a fájl rosszindulatú Shock Wave Flash-t (SWF) kér.[4] a távoli tartományból letöltött fájl. Ez a fájl rosszindulatú héjkód telepítésére és végrehajtására szolgál, amely a trójai programok betöltéséért felelős. A kutatók szerint ez a trójai nagy valószínűséggel kinyitja az érintett gép hátsó ajtaját.
Ezenkívül a megcélzott eszköz és a távoli hacker szervere közötti kommunikációt szimmetrikus AES és aszimmetrikus RSA titkosítási kódok kombinációja biztosítja:
„Az adatterhelés visszafejtéséhez a kliens visszafejti a titkosított AES-kulcsot a véletlenszerűen generált privát kulcsával, majd visszafejti az adathordozót a visszafejtett AES-kulccsal.
A nyilvános kulcsú titkosítás extra rétege, véletlenszerűen generált kulccsal, itt kulcsfontosságú. Használatával vagy vissza kell állítani a véletlenszerűen generált kulcsot, vagy fel kell törni az RSA-titkosítást a támadás további rétegeinek elemzéséhez.”[Forrás: Icebrg]
Az Adobe frissítést adott ki ennek a kritikus hibának a kijavítására
Az Adobe már kiadott egy frissítést az Adobe Flash Player Windows, macOS, Linux és Chrome OS rendszerhez. A kritikus biztonsági rést a program 29.0.0.171 és korábbi verzióiban észlelték. Ezért a felhasználókat arra kérik, hogy azonnal frissítsenek a 30.0.0.113-as verzióra.
Az Adobe kiadta a CVE-2018-5002-t[5] javítás, amely figyelmeztetést küld, majd a felhasználó megnyit egy obfuszkált Excel-fájlt. A felszólítás a távoli tartalom betöltése után fellépő lehetséges veszélyekre figyelmeztet.
A frissítések telepítése a program frissítési szolgáltatásaival vagy az Adobe Flash Player hivatalos letöltőközpontjából lehetséges. Szeretnénk emlékeztetni arra, hogy az előugró ablakok, hirdetések vagy harmadik féltől származó letöltési források nem biztonságos hely a frissítések telepítéséhez.