Nog een Adobe Flash Zero-day-kwetsbaarheid ontdekt
Cybercriminelen hebben een nieuwe truc ontdekt om Adobe Flash te gebruiken om kwaadaardige aanvallen uit te voeren. Onlangs ontdekten onderzoekers nog een zero-day[1] fout die is uitgebuit in het Midden-Oosten via Microsoft Excel-document.[2]
Het kwaadaardige document werd verspreid via e-mails. Het bevat echter geen schadelijke inhoud. Wanneer een doelwit echter een Excel-bestand opent, roept het een externe toegangsserver aan om schadelijke inhoud te downloaden om de fout in Adobe Flash te misbruiken. Deze techniek maakt het mogelijk om antivirusdetectie te vermijden.
Onderzoekers gaan ervan uit dat deze aanval plaatsvond in Qatar:
Qatar omdat de domeinnaam die door de aanvallers werd gebruikt 'people.dohabayt[.]com' was, waaronder ook 'Doha', de hoofdstad van Qatar, valt. Het domein is ook vergelijkbaar met een legitieme wervingswebsite in het Midden-Oosten 'bayt[.]com'.[3]
Het kwaadaardige Excel-bestand bevatte ook inhoud in de Arabische taal. Het lijkt erop dat de belangrijkste doelwitten misschien ambassadeurs zijn, zoals ambassadeurs, secretarissen en andere diplomaten. Gelukkig is de fout verholpen en worden gebruikers dringend verzocht updates te installeren (CVE-2018-5002).
De geavanceerde techniek maakt misbruik van Flash-kwetsbaarheid mogelijk zonder te worden gedetecteerd door antivirus
Schadelijke e-mailbijlagen kunnen gemakkelijk worden geïdentificeerd door de belangrijkste beveiligingsprogramma's. Deze keer hebben de aanvallers echter een manier gevonden om detectie te omzeilen omdat het bestand zelf niet gevaarlijk is.
Met deze techniek kan Flash vanaf een externe server worden misbruikt wanneer een gebruiker een gecompromitteerd Excel-bestand opent. Daarom kunnen beveiligingsprogramma's dit bestand niet als gevaarlijk markeren omdat het eigenlijk geen schadelijke code bevat.
Ondertussen vraagt dit bestand om een kwaadaardige Shock Wave Flash (SWF)[4] bestand dat is gedownload van het externe domein. Dit bestand wordt gebruikt voor het installeren en uitvoeren van kwaadaardige shell-code die verantwoordelijk is voor het laden van de trojan. Volgens de onderzoekers is de kans het grootst dat deze trojan de achterdeur van de getroffen machine opent.
Bovendien is de communicatie tussen een gericht apparaat en de externe hackerserver beveiligd met een combinatie van symmetrische AES- en asymmetrische RSA-coderingscodes:
“Om de data-payload te ontsleutelen, ontsleutelt de client de versleutelde AES-sleutel met behulp van de willekeurig gegenereerde privésleutel, en ontsleutelt vervolgens de data-payload met de ontsleutelde AES-sleutel.
De extra laag van public key cryptografie, met een willekeurig gegenereerde sleutel, is hierbij cruciaal. Door het te gebruiken, moet men ofwel de willekeurig gegenereerde sleutel herstellen of de RSA-codering kraken om de volgende lagen van de aanval te analyseren." [Bron: Icebrg]
Adobe heeft een update uitgebracht om deze kritieke fout te verhelpen
Adobe heeft al een update uitgebracht voor Adobe Flash Player voor Windows, macOS, Linux en Chrome OS. De kritieke kwetsbaarheid werd gedetecteerd in 29.0.0.171 en eerdere versies van het programma. Daarom worden gebruikers dringend verzocht om onmiddellijk te updaten naar versie 30.0.0.113.
Adobe heeft CVE-2018-5002 uitgebracht[5] patch die een waarschuwing geeft, opent een gebruiker een versluierd Excel-bestand. De prompt waarschuwt voor mogelijke gevaren die kunnen optreden na het laden van de externe inhoud.
Installatie van de updates is mogelijk via updateservices in het programma of vanuit het officiële Adobe Flash Player Download Center. We willen eraan herinneren dat pop-ups, advertenties of downloadbronnen van derden geen veilige plek zijn om updates te installeren.