別のAdobeFlashゼロデイ脆弱性が発見されました
サイバー犯罪者は、AdobeFlashを使用して悪意のある攻撃を仕掛ける新しいトリックを発見しました。 最近、研究者は別のゼロデイを発見しました[1] MicrosoftExcelドキュメントを介して中東で悪用された欠陥。[2]
悪意のある文書が電子メールを介して拡散しているのが発見されました。 ただし、内部に悪意のあるコンテンツは含まれていません。 ただし、ターゲットがExcelファイルを開くと、リモートアクセスサーバーを呼び出して悪意のあるコンテンツをダウンロードし、AdobeFlashの欠陥を悪用します。 この手法により、ウイルス対策の検出を回避できます。
研究者は、この攻撃がカタールで行われたと想定しています。
攻撃者が使用したドメイン名は「people.dohabayt [。] com」であり、カタールの首都である「ドーハ」が含まれているため、カタール。 このドメインは、正規の中東求人サイト「bayt [。] com」にも似ています。[3]
悪意のあるExcelファイルには、アラビア語のコンテンツも含まれていました。 主なターゲットは、大使、秘書、その他の外交官などの大使館員である可能性があります。 幸い、この欠陥にはパッチが適用されており、ユーザーはアップデート(CVE-2018-5002)をインストールするように求められています。
高度な技術により、アンチウイルスによって検出されることなくFlashの脆弱性を悪用することができます
悪意のある電子メールの添付ファイルは、主要なセキュリティプログラムによって簡単に識別できます。 ただし、今回はファイル自体が危険ではないため、攻撃者は検出をバイパスする方法を見つけました。
この手法により、ユーザーが侵害されたExcelファイルを開いたときに、リモートサーバーからFlashを利用できるようになります。 したがって、セキュリティプログラムは、実際には悪意のあるコードが含まれていないため、このファイルを危険としてマークすることはできません。
一方、このファイルは悪意のあるShock Wave Flash(SWF)を要求します[4] リモートドメインからダウンロードされたファイル。 このファイルは、トロイの木馬のロードを担当する悪意のあるシェルコードのインストールと実行に使用されます。 研究者によると、このトロイの木馬は、影響を受けたマシンのバックドアを開く可能性が最も高いとのことです。
さらに、ターゲットデバイスとリモートハッカーのサーバー間の通信は、対称AESと非対称RSA暗号化暗号の組み合わせで保護されます。
「データペイロードを復号化するために、クライアントはランダムに生成された秘密鍵を使用して暗号化されたAESキーを復号化し、次に復号化されたAESキーを使用してデータペイロードを復号化します。
ここでは、ランダムに生成されたキーを使用した公開キー暗号化の追加レイヤーが重要です。 これを使用することにより、ランダムに生成されたキーを回復するか、RSA暗号化を解読して、攻撃の後続のレイヤーを分析する必要があります。」[出典:Icebrg]
アドビは、この重大な欠陥を修正するためのアップデートをリリースしました
アドビは、Windows、macOS、Linux、ChromeOS用のAdobeFlashPlayerのアップデートをすでにリリースしています。 重大な脆弱性は、29.0.0.171以前のバージョンのプログラムで検出されました。 したがって、ユーザーはすぐに30.0.0.113バージョンに更新することをお勧めします。
アドビがCVE-2018-5002をリリース[5] 警告を配信し、ユーザーが難読化されたExcelファイルを開くパッチ。 プロンプトは、リモートコンテンツのロード後に発生する可能性のある潜在的な危険について警告します。
アップデートのインストールは、プログラムのアップデートサービスまたは公式のAdobe FlashPlayerダウンロードセンターから行うことができます。 ポップアップ、広告、またはサードパーティのダウンロードソースは、アップデートをインストールするのに安全な場所ではないことを忘れないでください。