Odkryto kolejną lukę Adobe Flash Zero-day
Cyberprzestępcy znaleźli nową sztuczkę polegającą na wykorzystaniu Adobe Flash do przeprowadzania złośliwych ataków. Niedawno naukowcy odkryli kolejny dzień zerowy[1] luka, która została wykorzystana na Bliskim Wschodzie za pośrednictwem dokumentu Microsoft Excel.[2]
Złośliwy dokument został zauważony jako rozprzestrzeniający się za pośrednictwem wiadomości e-mail. Nie zawiera jednak żadnej złośliwej zawartości. Jednak gdy cel otwiera plik Excel, wywołuje serwer zdalnego dostępu w celu pobrania złośliwej zawartości w celu wykorzystania luki w Adobe Flash. Ta technika pozwala uniknąć wykrycia przez oprogramowanie antywirusowe.
Badacze zakładają, że atak ten miał miejsce w Katarze:
Katar, ponieważ nazwa domeny używana przez atakujących to „people.dohabayt[.]com”, która obejmuje „Doha”, stolicę Kataru. Domena jest również podobna do legalnej bliskowschodniej strony rekrutacyjnej „bayt[.]com”.[3]
Złośliwy plik Excel zawierał również treści w języku arabskim. Wydaje się, że głównym celem mogą być pracownicy ambasady, tacy jak ambasadorowie, sekretarze i inni dyplomaci. Na szczęście usterka została załatana i użytkownicy są zachęcani do instalowania aktualizacji (CVE-2018-5002).
Zaawansowana technika pozwala na wykorzystanie luki Flash bez wykrycia przez program antywirusowy
Złośliwe załączniki do wiadomości e-mail mogą być łatwo zidentyfikowane przez główne programy zabezpieczające. Jednak tym razem osoby atakujące znalazły sposób na ominięcie wykrywania, ponieważ sam plik nie jest niebezpieczny.
Ta technika umożliwia wykorzystanie Flasha ze zdalnego serwera, gdy użytkownik otworzy zhakowany plik Excela. Dlatego programy zabezpieczające nie mogą oznaczyć tego pliku jako niebezpiecznego, ponieważ w rzeczywistości nie zawiera on złośliwego kodu.
Tymczasem ten plik żąda złośliwego Flash Wave Shock (SWF)[4] plik, który jest pobierany z domeny zdalnej. Ten plik służy do instalowania i wykonywania złośliwego kodu powłoki odpowiedzialnego za ładowanie trojana. Według naukowców ten trojan najprawdopodobniej otworzy tylne drzwi na zaatakowanej maszynie.
Co więcej, komunikacja między docelowym urządzeniem a zdalnym serwerem hakera jest zabezpieczona kombinacją symetrycznych szyfrów AES i asymetrycznych szyfrów RSA:
„Aby odszyfrować ładunek danych, klient odszyfrowuje zaszyfrowany klucz AES za pomocą losowo wygenerowanego klucza prywatnego, a następnie odszyfrowuje ładunek danych za pomocą odszyfrowanego klucza AES.
Dodatkowa warstwa kryptografii klucza publicznego, z losowo generowanym kluczem, jest tutaj kluczowa. Korzystając z niego, należy albo odzyskać losowo wygenerowany klucz, albo złamać szyfrowanie RSA, aby przeanalizować kolejne warstwy ataku”. [Źródło: Icebrg]
Firma Adobe wydała aktualizację, aby naprawić tę krytyczną lukę
Firma Adobe wydała już aktualizację programu Adobe Flash Player dla systemów Windows, macOS, Linux i Chrome OS. Krytyczna luka została wykryta w 29.0.0.171 i wcześniejszych wersjach programu. Dlatego użytkownicy są zachęcani do natychmiastowej aktualizacji do wersji 30.0.0.113.
Firma Adobe wydała CVE-2018-5002[5] łatka, która wyświetla ostrzeżenie, a następnie użytkownik otwiera zaciemniony plik Excela. Monit ostrzega o potencjalnych zagrożeniach, które mogą wystąpić po załadowaniu zawartości zdalnej.
Instalacja aktualizacji jest możliwa za pośrednictwem usług aktualizacji w programie lub z oficjalnego Centrum pobierania Adobe Flash Player. Przypominamy, że wyskakujące okienka, reklamy lub zewnętrzne źródła pobierania nie są bezpiecznym miejscem do instalowania aktualizacji.