พบช่องโหว่ Adobe Flash Zero-day อีกตัว
อาชญากรไซเบอร์พบเคล็ดลับใหม่ในการใช้ Adobe Flash เพื่อเริ่มการโจมตีที่เป็นอันตราย เมื่อเร็ว ๆ นี้นักวิจัยค้นพบอีกซีโร่เดย์[1] ข้อบกพร่องที่ถูกโจมตีในตะวันออกกลางผ่านเอกสาร Microsoft Excel[2]
เอกสารที่เป็นอันตรายถูกตรวจพบว่าแพร่กระจายผ่านอีเมล อย่างไรก็ตาม ไม่มีเนื้อหาที่เป็นอันตรายอยู่ภายใน อย่างไรก็ตาม เมื่อเป้าหมายเปิดไฟล์ Excel จะเรียกเซิร์ฟเวอร์การเข้าถึงระยะไกลเพื่อดาวน์โหลดเนื้อหาที่เป็นอันตรายเพื่อใช้ประโยชน์จากข้อบกพร่องใน Adobe Flash เทคนิคนี้ช่วยหลีกเลี่ยงการตรวจหาโปรแกรมป้องกันไวรัส
นักวิจัยสันนิษฐานว่าการโจมตีครั้งนี้เกิดขึ้นในกาตาร์:
กาตาร์เนื่องจากชื่อโดเมนที่ผู้โจมตีใช้คือ 'people.dohabayt[.]com' ซึ่งรวมถึง 'Doha' เมืองหลวงของกาตาร์ โดเมนนี้คล้ายกับเว็บไซต์จัดหางานในตะวันออกกลางที่ถูกต้องตามกฎหมาย 'bayt[.]com'[3]
ไฟล์ Excel ที่เป็นอันตรายยังรวมเนื้อหาเป็นภาษาอาหรับด้วย ดูเหมือนว่าเป้าหมายหลักอาจเป็นเจ้าหน้าที่สถานทูต เช่น เอกอัครราชทูต เลขานุการ และนักการทูตคนอื่นๆ โชคดีที่จุดบกพร่องได้รับการแก้ไขแล้ว และขอแนะนำให้ผู้ใช้ติดตั้งโปรแกรมปรับปรุง (CVE-2018-5002)
เทคนิคที่ซับซ้อนช่วยให้สามารถใช้ประโยชน์จากช่องโหว่ของ Flash โดยไม่ถูกตรวจพบโดยโปรแกรมป้องกันไวรัส
โปรแกรมรักษาความปลอดภัยที่สำคัญสามารถระบุไฟล์แนบอีเมลที่เป็นอันตรายได้อย่างง่ายดาย อย่างไรก็ตาม คราวนี้ผู้โจมตีพบวิธีเลี่ยงการตรวจจับ เนื่องจากตัวไฟล์เองไม่ได้เป็นอันตราย
เทคนิคนี้อนุญาตให้ใช้ประโยชน์จาก Flash จากเซิร์ฟเวอร์ระยะไกลเมื่อผู้ใช้เปิดไฟล์ Excel ที่ถูกบุกรุก ดังนั้น โปรแกรมรักษาความปลอดภัยจึงไม่สามารถทำเครื่องหมายไฟล์นี้ว่าเป็นอันตรายได้ เนื่องจากจริงๆ แล้วไม่มีโค้ดที่เป็นอันตราย
ในขณะเดียวกัน ไฟล์นี้ร้องขอ Shock Wave Flash (SWF) ที่เป็นอันตราย[4] ไฟล์ที่ดาวน์โหลดจากโดเมนระยะไกล ไฟล์นี้ใช้สำหรับการติดตั้งและรันโค้ดเชลล์ที่เป็นอันตรายซึ่งมีหน้าที่ในการโหลดโทรจัน ตามที่นักวิจัย โทรจันนี้มักจะเปิดประตูลับบนเครื่องที่ได้รับผลกระทบ
นอกจากนี้ การสื่อสารระหว่างอุปกรณ์เป้าหมายและเซิร์ฟเวอร์ของแฮ็กเกอร์ระยะไกลยังได้รับการรักษาความปลอดภัยด้วยการผสมผสานของ AES สมมาตรและการเข้ารหัส RSA แบบอสมมาตร:
“ในการถอดรหัสเพย์โหลดข้อมูล ไคลเอนต์ถอดรหัสคีย์ AES ที่เข้ารหัสโดยใช้คีย์ส่วนตัวที่สร้างแบบสุ่ม จากนั้นถอดรหัสเพย์โหลดข้อมูลด้วยคีย์ AES ที่ถอดรหัสแล้ว
เลเยอร์พิเศษของการเข้ารหัสคีย์สาธารณะที่มีคีย์ที่สร้างแบบสุ่มเป็นสิ่งสำคัญที่นี่ เมื่อใช้มัน เราจะต้องกู้คืนคีย์ที่สร้างแบบสุ่มหรือถอดรหัสการเข้ารหัส RSA เพื่อวิเคราะห์เลเยอร์ที่ตามมาของการโจมตี” [ที่มา: Icebrg]
Adobe เปิดตัวอัปเดตเพื่อแก้ไขข้อบกพร่องที่สำคัญนี้
Adobe ได้เผยแพร่การอัปเดตสำหรับ Adobe Flash Player สำหรับ Windows, macOS, Linux และ Chrome OS แล้ว ตรวจพบช่องโหว่ที่สำคัญใน 29.0.0.171 และเวอร์ชันก่อนหน้าของโปรแกรม ดังนั้น ขอแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 30.0.0.113 ทันที
Adobe เปิดตัว CVE-2018-5002[5] โปรแกรมแก้ไขที่ส่งคำเตือน จากนั้นผู้ใช้จะเปิดไฟล์ Excel ที่สับสน พรอมต์เตือนเกี่ยวกับอันตรายที่อาจเกิดขึ้นหลังจากโหลดเนื้อหาระยะไกล
การติดตั้งการอัปเดตสามารถทำได้ผ่านบริการอัปเดตในโปรแกรมหรือจากศูนย์ดาวน์โหลด Adobe Flash Player อย่างเป็นทางการ เราต้องการเตือนว่าป๊อปอัป โฆษณา หรือแหล่งดาวน์โหลดของบุคคลที่สามไม่ใช่ที่ที่ปลอดภัยในการติดตั้งการอัปเดต