S-a descoperit o altă vulnerabilitate Adobe Flash Zero-day
Criminalii cibernetici au găsit un nou truc pentru a folosi Adobe Flash pentru a lansa atacuri rău intenționate. Recent, cercetătorii au descoperit un alt zero-day[1] defect care a fost exploatat în Orientul Mijlociu prin document Microsoft Excel.[2]
Documentul rău intenționat a fost observat răspândindu-se prin e-mailuri. Cu toate acestea, nu include niciun conținut rău intenționat în interior. Cu toate acestea, atunci când o țintă deschide fișierul Excel, apelează la serverul de acces la distanță pentru a descărca conținut rău intenționat pentru a exploata defectul din Adobe Flash. Această tehnică permite evitarea detectării antivirusului.
Cercetătorii presupun că acest atac a avut loc în Qatar:
Qatar deoarece numele de domeniu folosit de atacatori a fost „people.dohabayt[.]com”, care include „Doha”, capitala Qatarului. Domeniul este, de asemenea, similar cu un site web legitim de recrutare din Orientul Mijlociu „bayt[.]com”.[3]
Fișierul Excel rău intenționat includea și conținut în limba arabă. Se pare că principalele ținte ar putea fi lucrătorii ambasadei, precum ambasadorii, secretarii și alți diplomați. Din fericire, defectul a fost remediat și utilizatorii sunt îndemnați să instaleze actualizări (CVE-2018-5002).
Tehnica sofisticată permite exploatarea vulnerabilității Flash fără a fi detectată de antivirus
Atașamentele de e-mail rău intenționate pot fi identificate cu ușurință de către programele de securitate majore. Cu toate acestea, de data aceasta atacatorii au găsit o modalitate de a ocoli detectarea, deoarece fișierul în sine nu este periculos.
Această tehnică permite exploatarea Flash de pe un server la distanță atunci când un utilizator deschide un fișier Excel compromis. Prin urmare, programele de securitate nu pot marca acest fișier ca fiind periculos, deoarece de fapt nu include cod rău intenționat.
Între timp, acest fișier solicită un Flash Wave (SWF) rău intenționat[4] fișier care este descărcat de pe domeniul la distanță. Acest fișier este utilizat pentru instalarea și executarea codului shell rău intenționat care este responsabil pentru încărcarea troianului. Potrivit cercetătorilor, acest troian este cel mai probabil să deschidă ușa din spate a mașinii afectate.
În plus, comunicarea între un dispozitiv vizat și serverul hackerului de la distanță este securizată cu o combinație de cifruri de criptare AES simetrice și RSA asimetrice:
„Pentru a decripta încărcătura utilă de date, clientul decriptează cheia AES criptată folosind cheia privată generată aleatoriu, apoi decriptează încărcătura utilă de date cu cheia AES decriptată.
Stratul suplimentar de criptare cu cheie publică, cu o cheie generată aleatoriu, este crucial aici. Folosind-o, trebuie fie să recuperați cheia generată aleatoriu, fie să spargeți criptarea RSA pentru a analiza straturile ulterioare ale atacului.” [Sursa: Icebrg]
Adobe a lansat o actualizare pentru a remedia această defecțiune critică
Adobe a lansat deja o actualizare pentru Adobe Flash Player pentru Windows, macOS, Linux și Chrome OS. Vulnerabilitatea critică a fost detectată în 29.0.0.171 și în versiunile anterioare ale programului. Prin urmare, utilizatorii sunt îndemnați să actualizeze imediat versiunea 30.0.0.113.
Adobe a lansat CVE-2018-5002[5] patch care oferă un avertisment, apoi un utilizator deschide un fișier Excel ofuscat. Promptul avertizează despre pericolele potențiale care ar putea apărea după încărcarea conținutului de la distanță.
Instalarea actualizărilor este posibilă prin serviciile de actualizare din program sau din Centrul oficial de descărcare Adobe Flash Player. Dorim să reamintim că ferestrele pop-up, reclamele sau sursele de descărcare de la terțe părți nu sunt un loc sigur pentru a instala actualizări.