აღმოჩენილია Adobe Flash Zero-day დაუცველობა: შესწორება ახლავე!

MiscellaneaDec 20, 2021

აღმოჩენილია კიდევ ერთი Adobe Flash Zero-day დაუცველობა

აღმოჩენილია Adobe Flash Zero-day დაუცველობა

კიბერ დამნაშავეებმა იპოვეს ახალი ხრიკი, რათა გამოიყენონ Adobe Flash მავნე თავდასხმების განსახორციელებლად. ახლახან მკვლევარებმა კიდევ ერთი ნულოვანი დღე აღმოაჩინეს[1] ხარვეზი, რომელიც გამოიყენეს ახლო აღმოსავლეთში Microsoft Excel დოკუმენტის საშუალებით.[2]

მავნე დოკუმენტი დაფიქსირდა ელექტრონული ფოსტით გავრცელებისას. თუმცა, ის არ შეიცავს რაიმე მავნე შინაარსს შიგნით. თუმცა, როდესაც სამიზნე ხსნის Excel ფაილს, ის უწოდებს დისტანციური წვდომის სერვერს მავნე შინაარსის ჩამოსატვირთად Adobe Flash-ის ხარვეზის გამოსაყენებლად. ეს ტექნიკა საშუალებას გაძლევთ თავიდან აიცილოთ ანტივირუსული გამოვლენა.

მკვლევარები ვარაუდობენ, რომ ეს თავდასხმა ყატარში მოხდა:

კატარი, რადგან თავდამსხმელების მიერ გამოყენებული დომენის სახელი იყო 'people.dohabayt[.]com', რომელიც მოიცავს 'დოჰას', ყატარის დედაქალაქს. დომენი ასევე ჰგავს ლეგიტიმური შუა აღმოსავლეთის რეკრუტირების ვებსაიტს "bayt[.]com".[3]

მავნე Excel ფაილი ასევე მოიცავდა შინაარსს არაბულ ენაზე. როგორც ჩანს, მთავარი სამიზნეები შეიძლება იყვნენ საელჩოს თანამშრომლები, როგორიცაა ელჩები, მდივნები და სხვა დიპლომატები. საბედნიეროდ, ხარვეზი აღმოფხვრილია და მომხმარებლებს მოუწოდებენ დააინსტალირონ განახლებები (CVE-2018-5002).

დახვეწილი ტექნიკა საშუალებას იძლევა გამოიყენოს Flash დაუცველობა ანტივირუსით გამოვლენის გარეშე

ელ.ფოსტის მავნე დანართები ადვილად იდენტიფიცირებულია ძირითადი უსაფრთხოების პროგრამებით. თუმცა, ამჯერად თავდამსხმელებმა იპოვეს გამოვლენის გვერდის ავლით, რადგან თავად ფაილი არ არის საშიში.

ეს ტექნიკა საშუალებას გაძლევთ გამოიყენოთ Flash დისტანციური სერვერიდან, როდესაც მომხმარებელი ხსნის კომპრომეტირებული Excel ფაილს. ამიტომ, უსაფრთხოების პროგრამებს არ შეუძლიათ ამ ფაილის მონიშვნა, როგორც საშიში, რადგან ის რეალურად არ შეიცავს მავნე კოდს.

იმავდროულად, ეს ფაილი ითხოვს მავნე Shock Wave Flash-ს (SWF)[4] ფაილი, რომელიც ჩამოტვირთულია დისტანციური დომენიდან. ეს ფაილი გამოიყენება მავნე ჭურვის კოდის ინსტალაციისა და შესასრულებლად, რომელიც პასუხისმგებელია ტროას ჩატვირთვაზე. მკვლევარების აზრით, ეს ტროას დიდი ალბათობით ხსნის უკანა კარს დაზარალებულ აპარატზე.

უფრო მეტიც, კომუნიკაცია მიზანმიმართულ მოწყობილობასა და დისტანციურ ჰაკერის სერვერს შორის დაცულია სიმეტრიული AES და ასიმეტრიული RSA დაშიფვრის შიფრების კომბინაციით:

„მონაცემთა ტვირთის გაშიფვრისთვის, კლიენტი შიფრავს დაშიფრულ AES გასაღებს მისი შემთხვევით გენერირებული პირადი გასაღების გამოყენებით, შემდეგ შიფრავს მონაცემთა დატვირთვას გაშიფრული AES გასაღებით.
აქ გადამწყვეტია საჯარო გასაღების კრიპტოგრაფიის დამატებითი ფენა, შემთხვევით გენერირებული გასაღებით. მისი გამოყენებით, თქვენ ან უნდა აღადგინოთ შემთხვევით გენერირებული გასაღები, ან დაარღვიოთ RSA დაშიფვრა შეტევის შემდგომი ფენების გასაანალიზებლად.” [წყარო: Icebrg]

Adobe-მ გამოუშვა განახლება ამ კრიტიკული ხარვეზის გამოსასწორებლად

Adobe-მ უკვე გამოუშვა განახლება Adobe Flash Player-ისთვის Windows-ისთვის, macOS-ისთვის, Linux-ისთვის და Chrome OS-ისთვის. კრიტიკული დაუცველობა გამოვლინდა პროგრამის 29.0.0.171 და უფრო ადრეულ ვერსიებში. აქედან გამომდინარე, მომხმარებლებს მოუწოდებენ დაუყოვნებლივ განაახლონ 30.0.0.113 ვერსია.

Adobe-მ გამოუშვა CVE-2018-5002[5] პატჩი, რომელიც აწვდის გაფრთხილებას, შემდეგ მომხმარებელი ხსნის გაურკვეველ Excel ფაილს. მოთხოვნა აფრთხილებს პოტენციურ საფრთხეებს, რომლებიც შეიძლება წარმოიშვას დისტანციური შინაარსის ჩატვირთვის შემდეგ.

განახლებების ინსტალაცია შესაძლებელია პროგრამის განახლების სერვისების მეშვეობით ან Adobe Flash Player-ის ოფიციალური ჩამოტვირთვის ცენტრიდან. გვსურს შეგახსენოთ, რომ ამომხტარი ფანჯრები, რეკლამები ან მესამე მხარის ჩამოტვირთვის წყაროები არ არის უსაფრთხო ადგილი განახლებების დასაყენებლად.