Outra vulnerabilidade do Adobe Flash Zero-day descoberta
Os cibercriminosos descobriram um novo truque para usar o Adobe Flash para lançar ataques maliciosos. Recentemente, os pesquisadores descobriram outro dia zero[1] falha que foi explorada no Oriente Médio por meio de documento do Microsoft Excel.[2]
O documento malicioso foi detectado se espalhando por e-mail. No entanto, ele não inclui nenhum conteúdo malicioso. No entanto, quando um alvo abre um arquivo do Excel, ele chama o servidor de acesso remoto para baixar conteúdo malicioso para explorar a falha do Adobe Flash. Esta técnica permite evitar a detecção de antivírus.
Os pesquisadores presumem que este ataque foi realizado no Qatar:
Catar porque o nome de domínio usado pelos invasores era 'people.dohabayt [.] Com', que inclui 'Doha', capital do Catar. O domínio também é semelhante a um site legítimo de recrutamento do Oriente Médio ‘bayt [.] Com’.[3]
O arquivo malicioso do Excel também incluía conteúdo no idioma árabe. Parece que os principais alvos podem ser funcionários de embaixadas, como embaixadores, secretários e outros diplomatas. Felizmente, a falha foi corrigida e os usuários são incentivados a instalar as atualizações (CVE-2018-5002).
A sofisticada técnica permite explorar a vulnerabilidade do Flash sem ser detectada pelo antivírus
Os anexos de e-mail maliciosos podem ser facilmente identificados pelos principais programas de segurança. No entanto, desta vez, os invasores encontraram uma maneira de contornar a detecção porque o arquivo em si não é perigoso.
Essa técnica permite explorar o Flash de um servidor remoto quando um usuário abre um arquivo Excel comprometido. Portanto, os programas de segurança não podem marcar este arquivo como perigoso porque, na verdade, ele não inclui código malicioso.
Enquanto isso, este arquivo requer um malicioso Shock Wave Flash (SWF)[4] arquivo que é baixado do domínio remoto. Este arquivo é usado para instalar e executar código de shell malicioso que é responsável por carregar o trojan. De acordo com os pesquisadores, é mais provável que esse trojan abra a porta dos fundos da máquina afetada.
Além disso, a comunicação entre um dispositivo alvo e o servidor do hacker remoto é protegida com uma combinação de criptografias AES simétricas e RSA assimétricas:
“Para descriptografar a carga de dados, o cliente descriptografa a chave AES criptografada usando sua chave privada gerada aleatoriamente e, em seguida, descriptografa a carga de dados com a chave AES descriptografada.
A camada extra de criptografia de chave pública, com uma chave gerada aleatoriamente, é crucial aqui. Ao usá-lo, deve-se recuperar a chave gerada aleatoriamente ou quebrar a criptografia RSA para analisar as camadas subsequentes do ataque. ”[Fonte: Icebrg]
Adobe lançou uma atualização para corrigir esta falha crítica
A Adobe já lançou uma atualização para Adobe Flash Player para Windows, macOS, Linux e Chrome OS. A vulnerabilidade crítica foi detectada em 29.0.0.171 e em versões anteriores do programa. Portanto, os usuários devem atualizar para a versão 30.0.0.113 imediatamente.
Adobe lançou CVE-2018-5002[5] patch que fornece um aviso e um usuário abre um arquivo ofuscado do Excel. O prompt avisa sobre perigos potenciais que podem ocorrer após o carregamento do conteúdo remoto.
A instalação das atualizações é possível por meio de serviços de atualização no programa ou do Adobe Flash Player Download Center oficial. Queremos lembrar que pop-ups, anúncios ou fontes de download de terceiros não são um lugar seguro para instalar atualizações.