Scoperta un'altra vulnerabilità di Adobe Flash Zero-day
I criminali informatici hanno trovato un nuovo trucco per utilizzare Adobe Flash per lanciare attacchi dannosi. Recentemente, i ricercatori hanno scoperto un altro zero-day[1] difetto che è stato sfruttato in Medio Oriente tramite documento Microsoft Excel.[2]
Il documento dannoso è stato individuato diffondersi tramite e-mail. Tuttavia, non include alcun contenuto dannoso all'interno. Tuttavia, quando un obiettivo apre un file Excel, chiama il server di accesso remoto per scaricare contenuti dannosi per sfruttare il difetto in Adobe Flash. Questa tecnica consente di evitare il rilevamento antivirus.
I ricercatori presumono che questo attacco si sia svolto in Qatar:
Qatar perché il nome di dominio utilizzato dagli aggressori era 'people.dohabayt[.]com', che include 'Doha', la capitale del Qatar. Il dominio è anche simile a un legittimo sito web di reclutamento in Medio Oriente "bayt[.]com".[3]
Il file Excel dannoso includeva anche contenuti in lingua araba. Sembra che gli obiettivi principali potrebbero essere i dipendenti delle ambasciate, come ambasciatori, segretari e altri diplomatici. Fortunatamente, il difetto è stato corretto e gli utenti sono invitati a installare gli aggiornamenti (CVE-2018-5002).
La sofisticata tecnica consente di sfruttare la vulnerabilità di Flash senza essere rilevata dall'antivirus
Gli allegati di posta elettronica dannosi possono essere facilmente identificati dai principali programmi di sicurezza. Tuttavia, questa volta gli aggressori hanno trovato un modo per aggirare il rilevamento perché il file in sé non è pericoloso.
Questa tecnica consente di sfruttare Flash da un server remoto quando un utente apre un file Excel compromesso. Pertanto, i programmi di sicurezza non possono contrassegnare questo file come pericoloso perché in realtà non include codice dannoso.
Nel frattempo, questo file richiede un dannoso Shock Wave Flash (SWF)[4] file che viene scaricato dal dominio remoto. Questo file viene utilizzato per l'installazione e l'esecuzione di codice shell dannoso responsabile del caricamento di trojan. Secondo i ricercatori, è molto probabile che questo trojan apra la backdoor sulla macchina interessata.
Inoltre, la comunicazione tra un dispositivo mirato e il server dell'hacker remoto è protetta con una combinazione di crittografia AES simmetrica e crittografia RSA asimmetrica:
“Per decrittografare il payload dei dati, il client decrittografa la chiave AES crittografata utilizzando la sua chiave privata generata casualmente, quindi decrittografa il payload dei dati con la chiave AES decrittografata.
Il livello aggiuntivo della crittografia a chiave pubblica, con una chiave generata casualmente, è cruciale qui. Usandolo, è necessario recuperare la chiave generata casualmente o decifrare la crittografia RSA per analizzare i livelli successivi dell'attacco. "[Fonte: Icebrg]
Adobe ha rilasciato un aggiornamento per correggere questo difetto critico
Adobe ha già rilasciato un aggiornamento per Adobe Flash Player per Windows, macOS, Linux e Chrome OS. La vulnerabilità critica è stata rilevata in 29.0.0.171 e versioni precedenti del programma. Pertanto, gli utenti sono invitati ad aggiornare immediatamente alla versione 30.0.0.113.
Adobe ha rilasciato CVE-2018-5002[5] patch che fornisce un avviso, quindi un utente apre un file Excel offuscato. Il prompt avverte dei potenziali pericoli che potrebbero verificarsi dopo il caricamento del contenuto remoto.
L'installazione degli aggiornamenti è possibile tramite i servizi di aggiornamento nel programma o dal Centro download ufficiale di Adobe Flash Player. Vogliamo ricordare che pop-up, annunci o fonti di download di terze parti non sono un luogo sicuro per installare gli aggiornamenti.