Aptiktas dar vienas „Adobe Flash Zero-day“ pažeidžiamumas
Kibernetiniai nusikaltėliai rado naują triuką, kaip naudoti „Adobe Flash“ kenkėjiškoms atakoms pradėti. Neseniai mokslininkai atrado dar vieną nulinę dieną[1] trūkumas, kuris buvo panaudotas Artimuosiuose Rytuose naudojant Microsoft Excel dokumentą.[2]
Pastebėta, kad kenkėjiškas dokumentas plinta elektroniniais laiškais. Tačiau jame nėra jokio kenksmingo turinio. Tačiau kai taikinys atidaro „Excel“ failą, jis iškviečia nuotolinės prieigos serverį, kad atsisiųstų kenksmingą turinį, kad išnaudotų „Adobe Flash“ trūkumą. Ši technika leidžia išvengti antivirusinės aptikimo.
Tyrėjai mano, kad ši ataka buvo surengta Katare:
Kataras, nes užpuolikai naudojo domeno pavadinimą „people.dohabayt[.]com“, į kurį įeina Kataro sostinė „Doha“. Domenas taip pat panašus į teisėtą Vidurio Rytų įdarbinimo svetainę „bayt[.]com“.[3]
Kenkėjiškame „Excel“ faile taip pat buvo turinio arabų kalba. Atrodo, kad pagrindiniai taikiniai gali būti ambasadų darbuotojai, tokie kaip ambasadoriai, sekretoriai ir kiti diplomatai. Laimei, klaida buvo pataisyta ir vartotojai raginami įdiegti naujinimus (CVE-2018-5002).
Sudėtinga technika leidžia išnaudoti „Flash“ pažeidžiamumą neaptinkant antivirusinės programos
Kenkėjiškų el. laiškų priedus gali lengvai atpažinti pagrindinės saugos programos. Tačiau šį kartą užpuolikai rado būdą apeiti aptikimą, nes pats failas nėra pavojingas.
Ši technika leidžia išnaudoti „Flash“ iš nuotolinio serverio, kai vartotojas atidaro pažeistą „Excel“ failą. Todėl saugos programos negali pažymėti šio failo kaip pavojingo, nes jame iš tikrųjų nėra kenkėjiško kodo.
Tuo tarpu šis failas prašo kenkėjiškos „Shock Wave Flash“ (SWF)[4] failą, kuris atsisiunčiamas iš nuotolinio domeno. Šis failas naudojamas įdiegti ir vykdyti kenkėjišką apvalkalo kodą, kuris yra atsakingas už Trojos arklys įkėlimą. Tyrėjų teigimu, šis Trojos arklys greičiausiai atidarys paveikto įrenginio užpakalines duris.
Be to, ryšys tarp tikslinio įrenginio ir nuotolinio įsilaužėlio serverio yra apsaugotas simetriškų AES ir asimetrinių RSA šifravimo šifrų deriniu:
„Norėdamas iššifruoti naudingą duomenų apkrovą, klientas iššifruoja užšifruotą AES raktą naudodamas atsitiktinai sugeneruotą privatųjį raktą, tada iššifruoja duomenų naudingumą iššifruotu AES raktu.
Čia itin svarbus papildomas viešojo rakto kriptografijos sluoksnis su atsitiktinai sugeneruotu raktu. Naudojant jį reikia arba atkurti atsitiktinai sugeneruotą raktą, arba nulaužti RSA šifravimą, kad būtų galima analizuoti tolesnius atakos sluoksnius.
„Adobe“ išleido naujinimą, kad ištaisytų šį kritinį trūkumą
„Adobe“ jau išleido „Adobe Flash Player“, skirtą „Windows“, „MacOS“, „Linux“ ir „Chrome“ OS, naujinimą. Kritinis pažeidžiamumas buvo aptiktas 29.0.0.171 ir ankstesnėse programos versijose. Todėl vartotojai raginami nedelsiant atnaujinti į 30.0.0.113 versiją.
„Adobe“ išleido CVE-2018-5002[5] pataisa, kuri pateikia įspėjimą, tada vartotojas atidaro užmaskuotą „Excel“ failą. Raginimas įspėja apie galimus pavojus, kurie gali kilti įkėlus nuotolinį turinį.
Įdiegti naujinimus galima naudojant programos naujinimo paslaugas arba iš oficialaus „Adobe Flash Player“ atsisiuntimo centro. Norime priminti, kad iššokantieji langai, skelbimai ar trečiųjų šalių atsisiuntimo šaltiniai nėra saugi vieta naujinimams įdiegti.