Başka bir Adobe Flash Zero-day güvenlik açığı keşfedildi
Siber suçlular, kötü niyetli saldırılar başlatmak için Adobe Flash'ı kullanmak için yeni bir numara buldu. Son zamanlarda, araştırmacılar başka bir sıfır gün keşfettiler[1] Orta Doğu'da Microsoft Excel belgesi aracılığıyla istismar edilen kusur.[2]
Kötü amaçlı belgenin e-posta yoluyla yayıldığı tespit edildi. Ancak içerisinde herhangi bir zararlı içerik barındırmamaktadır. Ancak, bir hedef Excel dosyasını açtığında, Adobe Flash'taki kusurdan yararlanmak için kötü amaçlı içeriği indirmek için uzaktan erişim sunucusunu çağırır. Bu teknik, virüsten koruma algılamasından kaçınmaya izin verir.
Araştırmacılar bu saldırının Katar'da yapıldığını varsayıyorlar:
Katar çünkü saldırganlar tarafından kullanılan alan adı, Katar'ın başkenti 'Doha'yı da içeren 'people.dohabayt[.]com' idi. Etki alanı aynı zamanda meşru bir Orta Doğu işe alım sitesi olan "bayt[.]com"a benzer.[3]
Kötü amaçlı Excel dosyası ayrıca Arapça içerik içeriyordu. Ana hedeflerin büyükelçiler, sekreterler ve diğer diplomatlar gibi büyükelçilik çalışanları olabileceği görülüyor. Neyse ki kusur düzeltildi ve kullanıcılardan güncellemeleri yüklemeleri istendi (CVE-2018-5002).
Gelişmiş teknik, antivirüs tarafından algılanmadan Flash güvenlik açığından yararlanmaya olanak tanır
Kötü amaçlı e-posta ekleri, büyük güvenlik programları tarafından kolayca tanımlanabilir. Ancak bu sefer saldırganlar, dosyanın kendisi tehlikeli olmadığı için algılamayı atlamanın bir yolunu buldular.
Bu teknik, bir kullanıcı güvenliği ihlal edilmiş bir Excel dosyasını açtığında Flash'ın uzak bir sunucudan kullanılmasına izin verir. Bu nedenle, güvenlik programları bu dosyayı tehlikeli olarak işaretleyemez çünkü aslında kötü amaçlı kod içermez.
Bu arada, bu dosya kötü amaçlı bir Şok Dalgası Flaşı (SWF) ister.[4] uzak etki alanından indirilen dosya. Bu dosya, truva atını yüklemekten sorumlu olan kötü amaçlı kabuk kodunu yüklemek ve yürütmek için kullanılır. Araştırmacılara göre, bu truva atı büyük olasılıkla etkilenen makinede arka kapıyı açıyor.
Ayrıca, hedeflenen cihaz ile uzaktaki bilgisayar korsanının sunucusu arasındaki iletişim, simetrik AES ve asimetrik RSA şifreleme şifrelerinin bir kombinasyonu ile güvence altına alınır:
“Veri yükünün şifresini çözmek için istemci, rastgele oluşturulmuş özel anahtarını kullanarak şifrelenmiş AES anahtarının şifresini çözer, ardından şifresi çözülen AES anahtarıyla veri yükünün şifresini çözer.
Rastgele oluşturulmuş bir anahtarla birlikte ek ortak anahtar şifreleme katmanı burada çok önemlidir. Bunu kullanarak, saldırının sonraki katmanlarını analiz etmek için rastgele oluşturulmuş anahtarı kurtarmalı veya RSA şifrelemesini kırmalıdır.”[Kaynak: Icebrg]
Adobe, bu kritik kusuru düzeltmek için bir güncelleme yayınladı
Adobe, Windows, macOS, Linux ve Chrome OS için Adobe Flash Player için bir güncelleme yayınladı. Kritik güvenlik açığı, programın 29.0.0.171 ve önceki sürümlerinde tespit edildi. Bu nedenle, kullanıcıların derhal 30.0.0.113 sürümüne güncelleme yapmaları istenmektedir.
Adobe, CVE-2018-5002'yi yayınladı[5] bir uyarı veren yama, ardından bir kullanıcı gizlenmiş bir Excel dosyasını açar. İstem, uzak içeriği yükledikten sonra oluşabilecek olası tehlikeler hakkında uyarır.
Güncellemelerin yüklenmesi, programdaki güncelleme servisleri aracılığıyla veya resmi Adobe Flash Player İndirme Merkezi'nden mümkündür. Pop-up'ların, reklamların veya üçüncü taraf indirme kaynaklarının güncellemeleri yüklemek için güvenli bir yer olmadığını hatırlatmak isteriz.