Откривена је још једна рањивост Адобе Фласх Зеро-даи
Сајбер криминалци пронашли су нови трик да користе Адобе Фласх за покретање злонамерних напада. Недавно су истраживачи открили још један нулти дан[1] грешка која је искоришћена на Блиском истоку преко Мицрософт Екцел документа.[2]
Злонамерни документ је примећен како се шири путем е-поште. Међутим, он не укључује никакав злонамерни садржај унутра. Међутим, када циљ отвори Екцел датотеку, он позива сервер за даљински приступ да преузме злонамерни садржај да би искористио недостатак у Адобе Фласх-у. Ова техника омогућава избегавање откривања антивируса.
Истраживачи претпостављају да је овај напад одржан у Катару:
Катар јер је име домена које су нападачи користили било „пеопле.дохабаит[.]цом“, што укључује „Доху“, главни град Катара. Домен је такође сличан легитимној веб локацији за запошљавање на Блиском истоку „баит[.]цом“.[3]
Злонамерна Екцел датотека је такође укључивала садржај на арапском језику. Чини се да би главне мете могли бити радници амбасада, попут амбасадора, секретара и других дипломата. На срећу, мана је закрпљена и корисници се позивају да инсталирају ажурирања (ЦВЕ-2018-5002).
Софистицирана техника омогућава искоришћавање Фласх рањивости без откривања од стране антивируса
Главни безбедносни програми могу лако идентификовати злонамерне прилоге е-поште. Међутим, овог пута су нападачи пронашли начин да заобиђу детекцију јер сама датотека није опасна.
Ова техника омогућава искоришћавање Фласх-а са удаљеног сервера када корисник отвори компромитовану Екцел датотеку. Стога сигурносни програми не могу означити ову датотеку као опасну јер она заправо не укључује злонамјерни код.
У међувремену, ова датотека захтева злонамерни Схоцк Ваве Фласх (СВФ)[4] датотеку која се преузима са удаљеног домена. Ова датотека се користи за инсталирање и извршавање злонамерног схелл кода који је одговоран за учитавање тројанаца. Према истраживачима, овај тројанац ће највероватније отворити задња врата на погођеној машини.
Штавише, комуникација између циљаног уређаја и удаљеног хакерског сервера је обезбеђена комбинацијом симетричних АЕС и асиметричних РСА шифрованих шифри:
„Да би дешифровао садржај података, клијент дешифрује шифровани АЕС кључ користећи свој насумично генерисани приватни кључ, а затим дешифрује корисни терет података дешифрованим АЕС кључем.
Додатни слој криптографије јавног кључа, са насумично генерисаним кључем, овде је кључан. Користећи га, морате или повратити насумично генерисани кључ или разбити РСА енкрипцију да бисте анализирали следеће слојеве напада.“[Извор: Ицебрг]
Адобе је објавио ажурирање да поправи ову критичну грешку
Адобе је већ објавио ажурирање за Адобе Фласх Плаиер за Виндовс, мацОС, Линук и Цхроме ОС. Критична рањивост је откривена у 29.0.0.171 и ранијим верзијама програма. Стога се корисници позивају да одмах ажурирају на верзију 30.0.0.113.
Адобе је објавио ЦВЕ-2018-5002[5] закрпа која испоручује упозорење, а затим корисник отвара замагљену Екцел датотеку. Промпт упозорава на потенцијалне опасности које могу настати након учитавања удаљеног садржаја.
Инсталација ажурирања је могућа преко сервиса ажурирања у програму или из званичног центра за преузимање Адобе Фласх Плаиер-а. Желимо да подсетимо да искачући прозори, огласи или извори преузимања трећих страна нису безбедно место за инсталирање ажурирања.