En annen Adobe Flash Zero-day sårbarhet oppdaget
Cyberkriminelle fant et nytt triks for å bruke Adobe Flash til å starte ondsinnede angrep. Nylig oppdaget forskere nok en null-dag[1] feil som har blitt utnyttet i Midtøsten via Microsoft Excel-dokument.[2]
Det ondsinnede dokumentet har blitt oppdaget spredt via e-post. Den inneholder imidlertid ikke noe skadelig innhold inni. Men når et mål åpner Excel-fil, kaller det ekstern tilgangsserver for å laste ned skadelig innhold for å utnytte feilen i Adobe Flash. Denne teknikken gjør det mulig å unngå antivirusdeteksjon.
Forskere antar at dette angrepet ble holdt i Qatar:
Qatar fordi domenenavnet brukt av angriperne var 'people.dohabayt[.]com', som inkluderer 'Doha', Qatars hovedstad. Domenet ligner også på et legitimt rekrutteringsnettsted for Midtøsten «bayt[.]com».[3]
Den ondsinnede Excel-filen inkluderte også innhold på arabisk. Det ser ut til at hovedmålene kan være ambassadearbeidere, som ambassadører, sekretærer og andre diplomater. Heldigvis ble feilen rettet og brukere oppfordres til å installere oppdateringer (CVE-2018-5002).
Den sofistikerte teknikken gjør det mulig å utnytte Flash-sårbarhet uten å bli oppdaget av antivirus
Ondsinnede e-postvedlegg kan lett identifiseres av de store sikkerhetsprogrammene. Men denne gangen fant angripere en måte å omgå gjenkjenning fordi selve filen ikke er farlig.
Denne teknikken gjør det mulig å utnytte Flash fra en ekstern server når en bruker åpner en kompromittert Excel-fil. Derfor kan ikke sikkerhetsprogrammer merke denne filen som farlig fordi den faktisk ikke inneholder skadelig kode.
I mellomtiden ber denne filen om en ondsinnet Shock Wave Flash (SWF)[4] fil som er lastet ned fra det eksterne domenet. Denne filen brukes til å installere og utføre ondsinnet skallkode som er ansvarlig for å laste inn trojaner. Ifølge forskerne er det mest sannsynlig at denne trojaneren åpner bakdøren på den berørte maskinen.
Dessuten er kommunikasjon mellom en målrettet enhet og ekstern hackers server sikret med en kombinasjon av symmetriske AES og asymmetriske RSA-krypteringschiffer:
"For å dekryptere datanyttelasten, dekrypterer klienten den krypterte AES-nøkkelen ved å bruke dens tilfeldig genererte private nøkkel, og dekrypterer deretter datanyttelasten med den dekrypterte AES-nøkkelen.
Det ekstra laget med offentlig nøkkelkryptografi, med en tilfeldig generert nøkkel, er avgjørende her. Ved å bruke den må man enten gjenopprette den tilfeldig genererte nøkkelen eller knekke RSA-krypteringen for å analysere påfølgende lag av angrepet."[Kilde: Icebrg]
Adobe ga ut en oppdatering for å fikse denne kritiske feilen
Adobe har allerede gitt ut en oppdatering for Adobe Flash Player for Windows, macOS, Linux og Chrome OS. Den kritiske sårbarheten ble oppdaget i 29.0.0.171 og tidligere versjoner av programmet. Derfor oppfordres brukere til å oppdatere til versjon 30.0.0.113 umiddelbart.
Adobe ga ut CVE-2018-5002[5] patch som gir en advarsel, så åpner en bruker en skjult Excel-fil. Spørringen advarer om potensielle farer som kan oppstå etter at det eksterne innholdet er lastet inn.
Installasjon av oppdateringene er mulig via oppdateringstjenester i programmet eller fra det offisielle nedlastingssenteret for Adobe Flash Player. Vi vil minne om at popup-vinduer, annonser eller tredjeparts nedlastingskilder ikke er et trygt sted å installere oppdateringer.