Виявлено ще одну вразливість нульового дня Adobe Flash
Кіберзлочинці знайшли новий трюк за допомогою Adobe Flash для запуску шкідливих атак. Нещодавно дослідники виявили ще один нульовий день[1] недолік, який був використаний на Близькому Сході через документ Microsoft Excel.[2]
Помічено, що шкідливий документ поширюється електронною поштою. Однак він не містить шкідливого вмісту. Однак, коли мета відкриває файл Excel, вона викликає сервер віддаленого доступу, щоб завантажити шкідливий вміст, щоб використати недолік у Adobe Flash. Ця техніка дозволяє уникнути виявлення антивірусу.
Дослідники припускають, що ця атака була проведена в Катарі:
Катар, оскільки зловмисники використовували доменне ім’я «people.dohabayt[.]com», що включає «Доху», столицю Катару. Домен також подібний до законного веб-сайту набору персоналу на Близькому Сході «bayt[.]com».[3]
Шкідливий файл Excel також містив вміст арабською мовою. Схоже, що головними мішенями можуть бути працівники посольств, такі як посли, секретарі та інші дипломати. На щастя, недолік було виправлено, і користувачів закликають встановити оновлення (CVE-2018-5002).
Складна техніка дозволяє використовувати уразливість Flash без виявлення антивірусом
Шкідливі вкладення електронної пошти можна легко ідентифікувати основними програмами безпеки. Однак цього разу зловмисники знайшли спосіб обійти виявлення, оскільки сам файл не є небезпечним.
Ця техніка дозволяє використовувати Flash з віддаленого сервера, коли користувач відкриває скомпрометований файл Excel. Тому програми безпеки не можуть позначити цей файл як небезпечний, оскільки він насправді не містить шкідливого коду.
Тим часом цей файл запитує зловмисний Shock Wave Flash (SWF)[4] файл, який завантажується з віддаленого домену. Цей файл використовується для встановлення та виконання шкідливого оболонкового коду, який відповідає за завантаження трояна. За словами дослідників, цей троян, швидше за все, відкриває бекдор на ураженій машині.
Крім того, зв'язок між цільовим пристроєм і віддаленим сервером хакера захищається комбінацією симетричних шифрів AES та асиметричних шифрів RSA:
«Щоб розшифрувати корисні дані, клієнт розшифровує зашифрований ключ AES за допомогою свого випадково згенерованого приватного ключа, а потім розшифровує корисне навантаження даних за допомогою розшифрованого ключа AES.
Тут вирішальним є додатковий рівень криптографії з відкритим ключем із випадково згенерованим ключем. Використовуючи його, потрібно або відновити випадково згенерований ключ, або зламати шифрування RSA, щоб проаналізувати наступні рівні атаки».[Джерело: Icebrg]
Adobe випустила оновлення, щоб виправити цей критичний недолік
Adobe вже випустила оновлення для Adobe Flash Player для Windows, macOS, Linux і Chrome OS. Критична вразливість була виявлена в 29.0.0.171 і більш ранніх версіях програми. Тому користувачів просять негайно оновити до версії 30.0.0.113.
Adobe випустила CVE-2018-5002[5] патч, який видає попередження, після чого користувач відкриває заплутаний файл Excel. Підказка попереджає про потенційні небезпеки, які можуть виникнути після завантаження віддаленого вмісту.
Встановлення оновлень можливе через сервіси оновлення програми або з офіційного центру завантажень Adobe Flash Player. Ми хочемо нагадати, що спливаючі вікна, реклама або сторонні джерела завантаження не є безпечним місцем для встановлення оновлень.