Atklāta vēl viena Adobe Flash nulles dienas ievainojamība
Kibernoziedznieki atrada jaunu viltību, kā izmantot Adobe Flash ļaunprātīgu uzbrukumu veikšanai. Nesen pētnieki atklāja vēl vienu nulles dienu[1] trūkums, kas tika izmantots Tuvajos Austrumos, izmantojot Microsoft Excel dokumentu.[2]
Ļaunprātīgais dokuments ir pamanīts, ka tas izplatās pa e-pastu. Tomēr tajā nav ietverts neviens ļaunprātīgs saturs. Tomēr, kad mērķis atver Excel failu, tas izsauc attālās piekļuves serveri, lai lejupielādētu ļaunprātīgu saturu, lai izmantotu Adobe Flash trūkumu. Šis paņēmiens ļauj izvairīties no pretvīrusu noteikšanas.
Pētnieki pieļauj, ka šis uzbrukums notika Katarā:
Katara, jo uzbrucēju izmantotais domēna nosaukums bija "people.dohabayt[.]com", kas ietver Kataras galvaspilsētu "Doha". Domēns ir līdzīgs arī likumīgai Tuvo Austrumu personāla atlases vietnei “bayt[.]com”.[3]
Ļaunprātīgajā Excel failā bija arī saturs arābu valodā. Šķiet, ka galvenie mērķi varētu būt vēstniecību darbinieki, piemēram, vēstnieki, sekretāri un citi diplomāti. Par laimi, defekts tika izlabots, un lietotāji tiek mudināti instalēt atjauninājumus (CVE-2018-5002).
Izsmalcinātā tehnika ļauj izmantot Flash ievainojamību, to neatklājot antivīrusam
Galvenās drošības programmas var viegli identificēt ļaunprātīgus e-pasta pielikumus. Tomēr šoreiz uzbrucēji atrada veidu, kā apiet noteikšanu, jo pats fails nav bīstams.
Šis paņēmiens ļauj izmantot Flash no attālā servera, kad lietotājs atver apdraudētu Excel failu. Tāpēc drošības programmas nevar atzīmēt šo failu kā bīstamu, jo tajā faktiski nav ietverts ļaunprātīgs kods.
Tikmēr šis fails pieprasa ļaunprātīgu Shock Wave Flash (SWF)[4] failu, kas tiek lejupielādēts no attālā domēna. Šis fails tiek izmantots, lai instalētu un izpildītu ļaunprātīgu čaulas kodu, kas ir atbildīgs par Trojas zirga ielādi. Pēc pētnieku domām, šis Trojas zirgs, visticamāk, atvērs skartās mašīnas aizmugurējās durvis.
Turklāt saziņa starp mērķa ierīci un attālo hakeru serveri tiek nodrošināta ar simetrisku AES un asimetrisku RSA šifrēšanas šifru kombināciju:
“Lai atšifrētu datu lietderīgo slodzi, klients atšifrē šifrēto AES atslēgu, izmantojot tās nejauši ģenerētu privāto atslēgu, un pēc tam atšifrē datu lietderīgo slodzi ar atšifrēto AES atslēgu.
Šeit ļoti svarīgs ir publiskās atslēgas kriptogrāfijas papildu slānis ar nejauši ģenerētu atslēgu. Izmantojot to, ir jāatgūst nejauši ģenerētā atslēga vai jāuzlauž RSA šifrējums, lai analizētu turpmākos uzbrukuma slāņus. ”[Avots: Icebrg]
Adobe izlaida atjauninājumu, lai novērstu šo kritisko trūkumu
Adobe jau ir izlaidusi atjauninājumu Adobe Flash Player operētājsistēmai Windows, macOS, Linux un Chrome OS. Kritiskā ievainojamība tika atklāta programmas versijā 29.0.0.171 un vecākās versijās. Tādēļ lietotāji tiek aicināti nekavējoties atjaunināt uz 30.0.0.113 versiju.
Adobe izlaida CVE-2018-5002[5] ielāps, kas nodrošina brīdinājumu, tad lietotājs atver neskaidru Excel failu. Uzvedne brīdina par iespējamām briesmām, kas var rasties pēc attālā satura ielādes.
Atjauninājumu instalēšana ir iespējama, izmantojot programmas atjaunināšanas pakalpojumus vai oficiālo Adobe Flash Player lejupielādes centru. Mēs vēlamies atgādināt, ka uznirstošie logi, reklāmas vai trešo pušu lejupielādes avoti nav droša vieta atjauninājumu instalēšanai.