Обнаружена еще одна уязвимость Adobe Flash Zero-day
Киберпреступники нашли новый трюк с использованием Adobe Flash для запуска вредоносных атак. Недавно исследователи обнаружили еще один нулевой день.[1] брешь, которая была использована на Ближнем Востоке с помощью документа Microsoft Excel.[2]
Было замечено, что вредоносный документ распространяется по электронной почте. Однако внутри он не содержит вредоносного контента. Однако, когда цель открывает файл Excel, она вызывает сервер удаленного доступа для загрузки вредоносного содержимого, чтобы использовать уязвимость в Adobe Flash. Этот прием позволяет избежать обнаружения антивирусов.
Исследователи предполагают, что эта атака была проведена в Катаре:
Катар, потому что злоумышленники использовали доменное имя «people.dohabayt [.] Com», которое включает «Доха», столицу Катара. Этот домен также похож на законный сайт найма на Ближнем Востоке «bayt [.] Com».[3]
Вредоносный файл Excel также содержал контент на арабском языке. Похоже, что основными целями могут стать сотрудники посольств, такие как послы, секретари и другие дипломаты. К счастью, уязвимость была исправлена, и пользователям настоятельно рекомендуется устанавливать обновления (CVE-2018-5002).
Сложная технология позволяет использовать уязвимость Flash без обнаружения антивирусом.
Вредоносные вложения электронной почты могут быть легко идентифицированы основными программами безопасности. Однако на этот раз злоумышленники нашли способ обойти обнаружение, поскольку сам файл не опасен.
Этот метод позволяет использовать Flash с удаленного сервера, когда пользователь открывает скомпрометированный файл Excel. Поэтому программы безопасности не могут пометить этот файл как опасный, поскольку он фактически не содержит вредоносного кода.
Между тем, этот файл запрашивает вредоносную Shock Wave Flash (SWF).[4] файл, который загружается с удаленного домена. Этот файл используется для установки и выполнения вредоносного кода оболочки, который отвечает за загрузку трояна. По мнению исследователей, этот троян, скорее всего, откроет бэкдор на зараженной машине.
Более того, связь между целевым устройством и удаленным сервером хакера защищена с помощью комбинации симметричных шифров AES и асимметричных шифров RSA:
«Чтобы расшифровать полезные данные, клиент расшифровывает зашифрованный ключ AES, используя свой случайно сгенерированный закрытый ключ, а затем расшифровывает полезные данные с помощью дешифрованного ключа AES.
Здесь решающее значение имеет дополнительный уровень криптографии с открытым ключом со случайно сгенерированным ключом. Используя его, нужно либо восстановить случайно сгенерированный ключ, либо взломать шифрование RSA для анализа последующих уровней атаки ». [Источник: Icebrg]
Adobe выпустила обновление для исправления этого критического недостатка.
Adobe уже выпустила обновление для Adobe Flash Player для Windows, macOS, Linux и Chrome OS. Критическая уязвимость обнаружена в 29.0.0.171 и более ранних версиях программы. Следовательно, пользователям настоятельно рекомендуется немедленно обновиться до версии 30.0.0.113.
Adobe выпустила CVE-2018-5002[5] патч, который выдает предупреждение, после чего пользователь открывает запутанный файл Excel. Приглашение предупреждает о потенциальных опасностях, которые могут возникнуть после загрузки удаленного содержимого.
Установка обновлений возможна через сервисы обновлений в программе или из официального центра загрузки Adobe Flash Player. Напоминаем, что всплывающие окна, реклама или сторонние источники загрузки не являются безопасным местом для установки обновлений.