En annan Adobe Flash Zero-day sårbarhet upptäcktes
Cyberbrottslingar hittade ett nytt knep för att använda Adobe Flash för att starta skadliga attacker. Nyligen upptäckte forskare ytterligare en nolldag[1] fel som har utnyttjats i Mellanöstern via Microsoft Excel-dokument.[2]
Det skadliga dokumentet har upptäckts spridas via e-post. Det innehåller dock inget skadligt innehåll inuti. Men när ett mål öppnar Excel-fil, anropar det fjärråtkomstservern för att ladda ner skadligt innehåll för att utnyttja felet i Adobe Flash. Denna teknik gör det möjligt att undvika antivirusupptäckt.
Forskare antar att denna attack hölls i Qatar:
Qatar eftersom domännamnet som användes av angriparna var 'people.dohabayt[.]com', vilket inkluderar 'Doha', Qatars huvudstad. Domänen liknar också en legitim rekryteringswebbplats för Mellanöstern "bayt[.]com".[3]
Den skadliga Excel-filen innehöll också innehåll på arabiska. Det verkar som att huvudmålen kan vara ambassadarbetare, som ambassadörer, sekreterare och andra diplomater. Lyckligtvis åtgärdades felet och användare uppmanas att installera uppdateringar (CVE-2018-5002).
Den sofistikerade tekniken gör det möjligt att utnyttja Flash-sårbarheten utan att upptäckas av antivirus
Skadliga e-postbilagor kan lätt identifieras av de stora säkerhetsprogrammen. Men den här gången hittade angripare ett sätt att kringgå upptäckt eftersom filen i sig inte är farlig.
Denna teknik gör det möjligt att utnyttja Flash från en fjärrserver när en användare öppnar en komprometterad Excel-fil. Därför kan säkerhetsprogram inte markera den här filen som farlig eftersom den faktiskt inte innehåller skadlig kod.
Under tiden begär den här filen en skadlig Shock Wave Flash (SWF)[4] fil som laddas ner från fjärrdomänen. Den här filen används för att installera och köra skadlig skalkod som är ansvarig för att ladda trojan. Enligt forskarna kommer denna trojan med största sannolikhet att öppna bakdörren på den drabbade maskinen.
Dessutom är kommunikationen mellan en riktad enhet och fjärrhackarens server säkrad med en kombination av symmetriska AES och asymmetriska RSA-krypteringschiffer:
"För att dekryptera datanyttolasten dekrypterar klienten den krypterade AES-nyckeln med sin slumpmässigt genererade privata nyckel, och dekrypterar sedan datanyttolasten med den dekrypterade AES-nyckeln.
Det extra lagret av offentlig nyckelkryptografi, med en slumpmässigt genererad nyckel, är avgörande här. Genom att använda den måste man antingen återställa den slumpmässigt genererade nyckeln eller knäcka RSA-krypteringen för att analysera efterföljande lager av attacken."[Källa: Icebrg]
Adobe släppte en uppdatering för att åtgärda detta kritiska fel
Adobe har redan släppt en uppdatering för Adobe Flash Player för Windows, macOS, Linux och Chrome OS. Den kritiska sårbarheten upptäcktes i 29.0.0.171 och tidigare versioner av programmet. Därför uppmanas användare att uppdatera till version 30.0.0.113 omedelbart.
Adobe släppte CVE-2018-5002[5] patch som ger en varning och sedan öppnar en användare en förvirrad Excel-fil. Uppmaningen varnar för potentiella faror som kan uppstå efter att fjärrinnehållet laddats.
Installation av uppdateringarna är möjlig via uppdateringstjänster i programmet eller från det officiella nedladdningscentret för Adobe Flash Player. Vi vill påminna om att popup-fönster, annonser eller nedladdningskällor från tredje part inte är en säker plats att installera uppdateringar på.