זוהתה פגיעות של Adobe Flash Zero Day: תיקון עכשיו!

MiscellaneaDec 20, 2021

פגיעות נוספת של Adobe Flash Zero-day התגלתה

זוהתה פגיעות של Adobe Flash Zero Day

פושעי סייבר מצאו טריק חדש להשתמש ב-Adobe Flash כדי להפעיל התקפות זדוניות. לאחרונה גילו חוקרים עוד יום אפס[1] פגם שניצל במזרח התיכון באמצעות מסמך Microsoft Excel.[2]

המסמך הזדוני זוהה מתפשט באמצעות מיילים. עם זאת, הוא אינו כולל תוכן זדוני בפנים. עם זאת, כאשר יעד פותח קובץ Excel, הוא קורא לשרת גישה מרחוק להוריד תוכן זדוני כדי לנצל את הפגם ב-Adobe Flash. טכניקה זו מאפשרת הימנעות מזיהוי אנטי וירוס.

חוקרים מניחים שהמתקפה הזו נערכה בקטאר:

קטאר מכיוון ששם הדומיין ששימשו את התוקפים היה 'people.dohabayt[.]com', הכולל את 'דוחה', בירת קטאר. הדומיין דומה גם לאתר גיוס לגיטימי במזרח התיכון 'bayt[.]com'.[3]

קובץ האקסל הזדוני כלל גם תוכן בשפה הערבית. נראה שהמטרות העיקריות עשויות להיות עובדי שגרירות, כמו שגרירים, מזכירים ודיפלומטים אחרים. למרבה המזל, הפגם תוקן והמשתמשים מתבקשים להתקין עדכונים (CVE-2018-5002).

הטכניקה המתוחכמת מאפשרת ניצול פגיעות פלאש מבלי להיות מזוהה על ידי אנטי וירוס

ניתן לזהות בקלות קבצים מצורפים לדוא"ל זדוני על ידי תוכניות האבטחה הגדולות. עם זאת, הפעם התוקפים מצאו דרך לעקוף את הזיהוי מכיוון שהקובץ עצמו אינו מסוכן.

טכניקה זו מאפשרת ניצול פלאש משרת מרוחק כאשר משתמש פותח קובץ אקסל שנפגע. לכן, תוכניות אבטחה אינן יכולות לסמן את הקובץ הזה כמסוכן מכיוון שהוא למעשה אינו כולל קוד זדוני.

בינתיים, הקובץ הזה מבקש הבזק גל Shock Wave זדוני (SWF)[4] קובץ שהוורד מהדומיין המרוחק. קובץ זה משמש להתקנה וביצוע של קוד מעטפת זדוני שאחראי לטעינת טרויאני. לפי החוקרים, סביר להניח שהטרויאני הזה יפתח את הדלת האחורית של המכונה המושפעת.

יתר על כן, התקשורת בין מכשיר ממוקד לשרת האקרים המרוחק מאובטחת באמצעות שילוב של AES סימטרי וצפני הצפנת RSA א-סימטריים:

"כדי לפענח את מטען הנתונים, הלקוח מפענח את מפתח ה-AES המוצפן באמצעות המפתח הפרטי שנוצר באקראי, ולאחר מכן מפענח את מטען הנתונים עם מפתח ה-AES המפוענח.
השכבה הנוספת של הצפנת מפתח ציבורי, עם מפתח שנוצר באקראי, היא חיונית כאן. על ידי שימוש בו, יש לשחזר את המפתח שנוצר באקראי או לפצח את הצפנת RSA כדי לנתח את השכבות הבאות של המתקפה."[מקור: Icebrg]

אדובי פרסמה עדכון לתיקון הפגם הקריטי הזה

Adobe כבר פרסמה עדכון עבור Adobe Flash Player עבור Windows, macOS, Linux ו-Chrome OS. הפגיעות הקריטית זוהתה ב-29.0.0.171 ובגירסאות קודמות של התוכנית. לפיכך, קוראים למשתמשים לעדכן לגרסת 30.0.0.113 באופן מיידי.

Adobe פרסמה את CVE-2018-5002[5] תיקון שמספק אזהרה ואז משתמש פותח קובץ אקסל מעורפל. ההנחיה מזהירה מפני סכנות אפשריות שעלולות להתרחש לאחר טעינת התוכן המרוחק.

התקנת העדכונים אפשרית באמצעות שירותי עדכונים בתוכנית או ממרכז ההורדות הרשמי של Adobe Flash Player. אנו רוצים להזכיר שחלונות קופצים, מודעות או מקורות הורדה של צד שלישי אינם מקום בטוח להתקנת עדכונים.