Kerentanan Adobe Flash Zero-day lainnya ditemukan
Penjahat dunia maya menemukan trik baru untuk menggunakan Adobe Flash untuk meluncurkan serangan berbahaya. Baru-baru ini, para peneliti menemukan zero-day lainnya[1] cacat yang telah dieksploitasi di Timur Tengah melalui dokumen Microsoft Excel.[2]
Dokumen berbahaya telah terlihat menyebar melalui email. Namun, itu tidak termasuk konten berbahaya di dalamnya. Namun, ketika target membuka file Excel, ia memanggil server akses jarak jauh untuk mengunduh konten berbahaya untuk mengeksploitasi kelemahan dalam Adobe Flash. Teknik ini memungkinkan menghindari deteksi antivirus.
Para peneliti berasumsi bahwa serangan ini diadakan di Qatar:
Qatar karena nama domain yang digunakan oleh penyerang adalah 'people.dohabayt[.]com', yang mencakup 'Doha', ibu kota Qatar. Domain ini juga mirip dengan situs rekrutmen Timur Tengah yang sah 'bayt[.]com'.[3]
File Excel berbahaya juga menyertakan konten dalam bahasa Arab. Tampaknya target utama mungkin adalah pekerja kedutaan, seperti duta besar, sekretaris, dan diplomat lainnya. Untungnya, kelemahannya telah ditambal dan pengguna didesak untuk menginstal pembaruan (CVE-2018-5002).
Teknik canggih memungkinkan mengeksploitasi kerentanan Flash tanpa terdeteksi oleh antivirus
Lampiran email berbahaya dapat dengan mudah diidentifikasi oleh program keamanan utama. Namun, kali ini penyerang menemukan cara untuk melewati deteksi karena file itu sendiri tidak berbahaya.
Teknik ini memungkinkan pemanfaatan Flash dari server jauh ketika pengguna membuka file Excel yang disusupi. Oleh karena itu, program keamanan tidak dapat menandai file ini sebagai berbahaya karena sebenarnya tidak menyertakan kode berbahaya.
Sementara itu, file ini meminta Shock Wave Flash (SWF) berbahaya[4] file yang diunduh dari domain jarak jauh. File ini digunakan untuk menginstal dan mengeksekusi kode shell berbahaya yang bertanggung jawab untuk memuat trojan. Menurut para peneliti, trojan ini kemungkinan besar membuka pintu belakang pada mesin yang terpengaruh.
Selain itu, komunikasi antara perangkat yang ditargetkan dan server peretas jarak jauh diamankan dengan kombinasi cipher enkripsi AES simetris dan RSA asimetris:
“Untuk mendekripsi muatan data, klien mendekripsi kunci AES terenkripsi menggunakan kunci pribadi yang dibuat secara acak, kemudian mendekripsi muatan data dengan kunci AES yang didekripsi.
Lapisan ekstra kriptografi kunci publik, dengan kunci yang dibuat secara acak, sangat penting di sini. Dengan menggunakannya, seseorang harus memulihkan kunci yang dibuat secara acak atau memecahkan enkripsi RSA untuk menganalisis lapisan serangan berikutnya.”[Sumber: Icebrg]
Adobe merilis pembaruan untuk memperbaiki kelemahan kritis ini
Adobe telah merilis pembaruan untuk Adobe Flash Player untuk Windows, macOS, Linux, dan Chrome OS. Kerentanan kritis terdeteksi di 29.0.0.171 dan versi program sebelumnya. Oleh karena itu, pengguna dihimbau untuk segera memperbarui ke versi 30.0.0.113.
Adobe merilis CVE-2018-5002[5] patch yang memberikan peringatan kemudian pengguna membuka file Excel yang dikaburkan. Prompt memperingatkan tentang potensi bahaya yang mungkin terjadi setelah memuat konten jarak jauh.
Pemasangan pembaruan dimungkinkan melalui layanan pembaruan dalam program atau dari Pusat Unduhan Adobe Flash Player resmi. Kami ingin mengingatkan bahwa pop-up, iklan, atau sumber unduhan pihak ketiga bukanlah tempat yang aman untuk menginstal pembaruan.