Adobe Flash Player’da yeni bir Zero-Day savunmasızlığı keşfettiler ki, bilgisayar korsanları vahşi bir şekilde hedeflenen bir kampanyanın bir parçası olarak Rus devlet sağlık kurumlarına saldıran bir şekilde aktif olarak sömürüyorlar.
CVE-2018-15982 olarak izlenen güvenlik açığı, Flash Player’da başarılı bir şekilde kullanıldığında, bir saldırganın hedeflenen bilgisayarda rasgele kod yürütmesine ve sonunda sistem üzerinde tam denetim kazanmasına izin veren bir kullanım sonrası serbest kusurdur. Yeni keşfedilen Flash Player’ın Zero-Day istismarını, geçen hafta Ukraynalı bir IP adresinden çevrimiçi çok motorlu kötü amaçlı yazılım tarama hizmeti olan VirusTotal’a gönderilen kötü niyetli Microsoft Office belgeleri içindeki araştırmacılar tarafından fark edildi.
Kötü amaçlı hazırlanmış Microsoft Office belgeleri, hedeflenen kullanıcı tarafından açıldığında, bildirilen Flash oynatıcısı güvenlik açığından yararlanılmasına neden olan, gömülü bir Flash Active X denetimi içerir.
Güvenlik araştırmacılarına göre, ne Microsoft Office dosyası (22.docx) ne de Flash istismar (kendi içinde), sistem üzerinde kontrolü ele almak için nihai yükü içermez. Bunun yerine, son yük, bir arşiv dosyası olan bir görüntü dosyası (scan042.jpg) içinde saklanır. Bu dosya, bir Microsoft WinRAR arşivindeki Microsoft Office dosyasıyla birlikte paketlenmiş olan bir arşiv dosyasıdır ve daha sonra, spear-phishing e-postaları aracılığıyla dağıtılır. Aşağıdaki videoda gösterilen:
[youtube https://www.youtube.com/watch?v=4OYQyLSVDlU&w=560&h=315]
Belgeyi açtıktan sonra, Flash istisnası görüntü dosyasını arşivden çıkarmak için sistem üzerinde bir komut çalıştırır ve VMProtect ile korunan ve aşağıdaki özelliklere sahip bir arka kapı kurmak üzere programlanan son yükü (yani backup.exe) çalıştırır;
-kullanıcı aktivitelerini izleme (klavye veya fareyi hareket ettirme)
-sistem bilgilerini toplamak ve bir uzaktan kumanda ve kontrol (C & C) sunucusuna göndermek,
-kabuk kodu yürütme,
-bellekte PE yükleme,
-dosya indirme
-kodu yürüt ve
-kendini imha etme.
Araştırmacılar Gigamon Uygulamalı Tehdit Araştırma ve Çin siber güvenlik firması Qihoo 360 Çekirdek Güvenlik lekeli gibi kötü amaçlı bir kampanya adında, “Operasyon Zehir İğneler,” herhangi bir devlet destekli hack grubuna saldırı atfedilen değil.
Ancak, söz konusu kötü amaçlı hazırlanmış belgeler, Rusya’nın Cumhurbaşkanlığı İdaresine bağlı bir Rus devlet sağlık poliçesi için bir istihdam başvurusu olduğunu ve Ukraynalı bir IP’den VirusTotal’a yüklendiğini iddia ettiğinden, araştırmacılar saldırganların Ukrayna’dan olabileceğini düşünüyor. iki ülke arasındaki siyasi gerilim.
Bu güvenlik açığı, Flash Player Desktop Runtime, Google Chrome için Flash Player, Microsoft Edge ve Internet Explorer 11 gibi ürünler için Adobe Flash Player sürüm 31.0.0.153 ve önceki sürümleri etkilemektedir. Adobe Flash Player Installer’ın 31.0.0.108 sürümleri ve önceki sürümleri de etkilenir. Araştırmacılar, 29 Kasım’da Flash’ın Zero-Day istismarını Adobe’ye bildirdi, ardından şirket bu konuyu kabul etti ve serbest bırakıldıWindows, macOS, Linux ve Chrome OS için güncellenmiş Adobe Flash Player sürüm 32.0.0.101; ve Adobe Flash Player Yükleyici sürümü 31.0.0.122.
Güvenlik güncelleştirmelerinde, saldırganların Flash Player ile ayrıcalık yükseltme yapmalarına ve kötü amaçlı bir DLL yüklemelerine olanak verebilecek bir “önemli” DLL ele geçirme güvenlik açığı (CVE-2018-15983) düzeltmesiyle birlikte, bildirilen sıfır gün hatası için bir düzeltme eki bulunmaktadır. .