Objavená ďalšia zraniteľnosť Adobe Flash Zero-day
Kybernetickí zločinci našli nový trik, ako použiť Adobe Flash na spustenie škodlivých útokov. Nedávno vedci objavili ďalší zero-day[1] chyba, ktorá bola zneužitá na Blízkom východe prostredníctvom dokumentu Microsoft Excel.[2]
Zistili, že sa škodlivý dokument šíri prostredníctvom e-mailov. Vo vnútri však neobsahuje žiadny škodlivý obsah. Keď však cieľ otvorí súbor Excel, zavolá server vzdialeného prístupu, aby stiahol škodlivý obsah, aby využil chybu v Adobe Flash. Táto technika umožňuje vyhnúť sa antivírusovej detekcii.
Vedci predpokladajú, že tento útok sa odohral v Katare:
Katar, pretože názov domény, ktorú útočníci použili, bol „people.dohabayt[.]com“, čo zahŕňa „Doha“, hlavné mesto Kataru. Doména je tiež podobná legitímnej náborovej webovej stránke na Blízkom východe „bayt[.]com“.[3]
Škodlivý súbor Excel obsahoval aj obsah v arabskom jazyku. Zdá sa, že hlavnými cieľmi môžu byť pracovníci veľvyslanectiev, ako sú veľvyslanci, sekretárky a iní diplomati. Našťastie bola chyba opravená a používatelia sú vyzvaní, aby si nainštalovali aktualizácie (CVE-2018-5002).
Sofistikovaná technika umožňuje využiť zraniteľnosť Flash bez toho, aby bola detekovaná antivírusom
Škodlivé e-mailové prílohy môžu byť ľahko identifikované hlavnými bezpečnostnými programami. Tentoraz však útočníci našli spôsob, ako obísť detekciu, pretože samotný súbor nie je nebezpečný.
Táto technika umožňuje využiť Flash zo vzdialeného servera, keď používateľ otvorí kompromitovaný súbor Excel. Preto bezpečnostné programy nemôžu označiť tento súbor ako nebezpečný, pretože v skutočnosti neobsahuje škodlivý kód.
Medzitým si tento súbor vyžiada škodlivý Shock Wave Flash (SWF)[4] súbor, ktorý sa stiahne zo vzdialenej domény. Tento súbor sa používa na inštaláciu a spustenie škodlivého shell kódu, ktorý je zodpovedný za načítanie trójskeho koňa. Podľa výskumníkov tento trójsky kôň s najväčšou pravdepodobnosťou otvorí zadné vrátka na postihnutom počítači.
Komunikácia medzi cieľovým zariadením a serverom vzdialeného hackera je navyše zabezpečená kombináciou symetrických šifrovacích šifier AES a asymetrických RSA:
„Na dešifrovanie dátovej časti klient dešifruje zašifrovaný kľúč AES pomocou svojho náhodne vygenerovaného súkromného kľúča a potom dešifruje dátovú časť pomocou dešifrovaného kľúča AES.
Mimoriadna vrstva kryptografie verejného kľúča s náhodne generovaným kľúčom je tu rozhodujúca. Pri jeho použití je potrebné buď obnoviť náhodne vygenerovaný kľúč, alebo prelomiť šifrovanie RSA, aby sa analyzovali následné vrstvy útoku.“[Zdroj: Icebrg]
Spoločnosť Adobe vydala aktualizáciu na opravu tejto kritickej chyby
Spoločnosť Adobe už vydala aktualizáciu pre Adobe Flash Player pre Windows, macOS, Linux a Chrome OS. Kritická zraniteľnosť bola zistená v 29.0.0.171 a starších verziách programu. Používatelia sú preto vyzvaní, aby okamžite aktualizovali na verziu 30.0.0.113.
Spoločnosť Adobe vydala CVE-2018-5002[5] oprava, ktorá zobrazí varovanie a potom používateľ otvorí zahmlený súbor Excel. Výzva upozorňuje na potenciálne nebezpečenstvá, ktoré sa môžu vyskytnúť po načítaní vzdialeného obsahu.
Inštalácia aktualizácií je možná prostredníctvom aktualizačných služieb v programe alebo z oficiálneho centra sťahovania Adobe Flash Player. Chceme pripomenúť, že kontextové okná, reklamy alebo zdroje sťahovania tretích strán nie sú bezpečným miestom na inštaláciu aktualizácií.