O nouă vulnerabilitate de tip zero-day descoperită în Adobe Flash
0Subsistemul de detecţie euristică al Kaspersky Lab a blocat cu succes atacuri lansate prin intermediul unei vulnerabilităţi de tip zero-day din software-ul Adobe Flash.
Cercetătorii Kaspersky Lab au descoperit această lacună, care a fost folosită de exploit-uri distribuite prin intermediul unui website guvernamental legitim, creat pentru a colecta plângeri publice cu privire la încălcări ale legii într-o ţară din Orientul Mijlociu.
La mijlocul lunii aprilie, experţii Kaspersky Lab care analizează informaţiile colectate de Kaspersky Security Network, au descoperit un exploit necunoscut anterior. La o examinare mai atentă, experţii au descoperit că exploit-ul folosea o vulnerabilitate nedetectată anterior din Adobe Flash Player. Vulnerabilitatea se află în Pixel Bender - o componentă veche, utilizată pentru procesarea fotografiilor şi a fişierelor video.
Analiza ulterioară a constatat că exploit-urile au fost distribuite prin intermediul unui website creat în 2011 de către ministerul sirian de justiţie pentru a permite oamenilor să depună plângeri cu privire la încălcări ale legii. Experţii Kaspersky Lab consideră că atacul a fost lansat pentru a viza disidenţii sirieni care se plângeau de guvern.
Astfel, au fost descoperite, în total, două tipuri de exploit-uri, cu diferenţe în shellcode (o mică parte de cod, folosită ca payload pentru exploatarea unei vulnerabilităţi de software).
„Primul exploit avea un comportament de payload destul de primitiv de descărcare şi lansare, însă cel de-al doilea încerca să interacţioneze cu Add-In-ul Cisco MeetingPlace Express - un plug-in Flash special folosit pentru acţiuni simultane, în special pentru afişarea documentelor şi a imaginilor de pe PC-ul unui prezentator”, a declarat Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager în cadrul Kaspersky Lab. „Acest plug-in este complet legitim, dar în aceste circumstanţe speciale ar putea fi folosit ca un instrument de spionaj. Mai mult decât atât, am descoperit că acest al doilea exploit funcţionează doar în cazul în care anumite versiuni de Flash Player şi CMP Add-In sunt instalate pe PC-ul atacat. Acest lucru înseamnă că, probabil, atacatorii vizează o listă foarte limitată de victime", a completat Vyacheslav Zakorzhevsky.
Imediat dupa ce au descoperit primul exploit, specialiştii Kaspersky Lab au contactat reprezentanţii Adobe pentru a-i informa cu privire la noua vulnerabilitate. După examinarea informaţiilor furnizate de Kaspersky Lab, Adobe a recunoscut că vulnerabilitatea are un statut de tip zero-day şi a dezvoltat un patch care este acum disponibil pe site-ul Adobe. Numărul CVE al acestei vulnerabilităţi este CVE-2014-0515.
„Deşi numărul de încercări de a exploata această vulnerabilitate a fost limitat, recomandăm insistent utilizatorilor să actualizeze software-ul Adobe Flash Player. Este posibil ca, odată ce informaţiile despre această vulnerabilitate devin cunoscute, infractorii să încerce să reproducă aceste noi exploit-uri sau să obţină variantele existente şi să le utilizeze în alte atacuri. Chiar dacă un patch este disponibil, infractorii cibernetici se aşteaptă să profite de această vulnerabilitate, deoarece o actualizare la nivel mondial a unui software popular cum este Flash Player va lua ceva timp. Din păcate, această vulnerabilitate va continua să fie periculoasă pentru o vreme", a avertizat Vyacheslav Zakorzhevsky.
Mai multe informaţii despre această vulnerabilitate de tip zero-day descoperită recent în Adobe Flash pot fi găsite aici.
Este a doua oară în acest an când experţii Kaspersky Lab descoperă o vulnerabilitate de tip zero-day. În luna februarie, specialiştii companiei au descoperit CVE-2014-0497 - o altă vulnerabilitate zero-day din Adobe Flash Player, care permite atacatorilor să infecteze pe ascuns PC-urile victimelor.
[<a href="//storify.com/vladandriescu3/kaspersky-1" target="_blank">View the story "Kaspersky" on Storify</a>]