Odkrita je bila še ena ranljivost Adobe Flash Zero-day
Kibernetski kriminalci so našli nov trik za uporabo Adobe Flasha za izvajanje zlonamernih napadov. Pred kratkim so raziskovalci odkrili še en dan nič[1] napaka, ki je bila na Bližnjem vzhodu izkoriščena prek dokumenta Microsoft Excel.[2]
Ugotovljeno je bilo, da se zlonamerni dokument širi po e-pošti. Vendar notri ne vključuje nobene zlonamerne vsebine. Ko pa cilj odpre datoteko Excel, pokliče strežnik za oddaljeni dostop, da prenese zlonamerno vsebino, da bi izkoristil napako v Adobe Flashu. Ta tehnika omogoča preprečevanje zaznavanja protivirusnih programov.
Raziskovalci domnevajo, da je bil ta napad izveden v Katarju:
Katar, ker je bilo ime domene, ki so jo uporabili napadalci, "people.dohabayt[.]com", kar vključuje "Doha", glavno mesto Katarja. Domena je tudi podobna zakonitemu spletnemu mestu za zaposlovanje na Bližnjem vzhodu „bayt[.]com“.[3]
Zlonamerna Excelova datoteka je vsebovala tudi vsebino v arabskem jeziku. Zdi se, da so lahko glavne tarče delavci veleposlaništev, kot so veleposlaniki, sekretarji in drugi diplomati. Na srečo je bila napaka odpravljena in uporabnike pozivamo, naj namestijo posodobitve (CVE-2018-5002).
Prefinjena tehnika omogoča izkoriščanje ranljivosti Flash, ne da bi jih protivirusni program zaznal
Zlonamerne e-poštne priloge lahko zlahka prepoznajo glavni varnostni programi. Vendar so tokrat napadalci našli način, da zaobidejo zaznavanje, ker sama datoteka ni nevarna.
Ta tehnika omogoča izkoriščanje Flasha z oddaljenega strežnika, ko uporabnik odpre ogroženo datoteko Excel. Zato varnostni programi te datoteke ne morejo označiti kot nevarne, ker dejansko ne vključuje zlonamerne kode.
Medtem ta datoteka zahteva zlonamerni Shock Wave Flash (SWF)[4] datoteko, ki je prenesena iz oddaljene domene. Ta datoteka se uporablja za namestitev in izvajanje zlonamerne lupine kode, ki je odgovorna za nalaganje trojancev. Po mnenju raziskovalcev bo ta trojanec najverjetneje odprl zadnja vrata na prizadetem računalniku.
Poleg tega je komunikacija med ciljno napravo in oddaljenim hekerskim strežnikom zavarovana s kombinacijo simetričnih šifrirnih šifrirnikov AES in asimetričnih RSA:
»Za dešifriranje koristnega tovora podatkov odjemalec dešifrira šifrirani ključ AES s svojim naključno ustvarjenim zasebnim ključem, nato pa dešifrira koristne podatke z dešifriranim ključem AES.
Dodatna plast kriptografije z javnim ključem z naključno ustvarjenim ključem je pri tem ključnega pomena. Z njegovo uporabo morate bodisi obnoviti naključno ustvarjen ključ ali razbiti šifriranje RSA, da analizirate naslednje plasti napada.«[Vir: Icebrg]
Adobe je izdal posodobitev za odpravo te kritične napake
Adobe je že izdal posodobitev za Adobe Flash Player za Windows, macOS, Linux in Chrome OS. Kritična ranljivost je bila odkrita v 29.0.0.171 in starejših različicah programa. Zato uporabnike pozivamo, da takoj posodobijo na različico 30.0.0.113.
Adobe je izdal CVE-2018-5002[5] popravek, ki prikaže opozorilo, nato uporabnik odpre zakrito Excelovo datoteko. Poziv opozori na morebitne nevarnosti, ki se lahko pojavijo po nalaganju oddaljene vsebine.
Namestitev posodobitev je možna prek posodobitvenih storitev v programu ali iz uradnega centra za prenose Adobe Flash Player. Želimo opozoriti, da pojavna okna, oglasi ali viri prenosa tretjih oseb niso varno mesto za namestitev posodobitev.