Khai thác Zero-Day Adobe Flash được tìm thấy ẩn trong MS Office Docs

Khai thác Zero-Day Adobe Flash được tìm thấy ẩn trong MS Office Docs

December 7, 2018 | vietsunshine

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng zero-day mới trong Adobe Flash Player mà tin tặc đang tích cực khai thác trong tự nhiên như một phần của chiến dịch được nhắm mục tiêu tấn công một cơ sở chăm sóc sức khỏe của Liên Bang Nga.

Lỗ hổng bảo mật, được theo dõi dưới dạng CVE-2018-15982, là lỗ hổng use-after-free trong Flash Player, nếu được khai thác thành công, cho phép kẻ tấn công thực thi mã tùy ý trên máy tính đích và cuối cùng có toàn quyền kiểm soát hệ thống.

Việc khai thác Flash Player zero-day mới đã được các nhà nghiên cứu phát hiện bên trong các tài liệu Microsoft Office vào tuần trước, nó đã được gửi tới dịch vụ quét phần mềm độc hại đa phần mềm trực tuyến VirusTotal từ một địa chỉ IP của Ukraina.

Các tài liệu Microsoft Office độc hại được chế tạo có chứa một điều khiển Flash Active X được nhúng trong tiêu đề của nó để hiển thị khi người dùng được nhắm mục tiêu mở nó, gây ra sự khai thác lỗ hổng Flash player.

Theo các nhà nghiên cứu bảo mật mạng, không phải tệp Microsoft Office (22.docx) và cũng không khai thác Flash (bên trong nó) chứa tải trọng cuối cùng để kiểm soát hệ thống.

Thay vào đó, tải trọng cuối cùng ẩn bên trong một tệp hình ảnh (scan042.jpg), đây là một tệp lưu trữ, đã được đóng gói cùng với tệp Microsoft Office bên trong một tệp lưu trữ WinRAR gốc, sau đó được phân phối thông qua các email lừa đảo, được hiển thị trong video dưới đây:

Khi mở tài liệu, việc khai thác Flash thực thi lệnh trên hệ thống để hủy lưu trữ tệp hình ảnh và chạy tải trọng cuối cùng (ví dụ: backup.exe) đã được bảo vệ bằng VMProtect và được lập trình để cài đặt backdoor có khả năng:

  • Giám sát hoạt động của người dùng (bàn phím hoặc di chuyển chuột)
  • Thu thập thông tin hệ thống và gửi đến máy chủ điều khiển và lệnh điều khiển từ xa (C&C).
  • Thực thi shellcode.
  • Load PE vào bộ nhớ.
  • Tải xuống các tên tin.
  • Thực thi mã.
  • Thực hiện tự hủy.

Các nhà nghiên cứu từ Gigamon Applied Threat Research và công ty bảo mật mạng Qihoo 360 Core Security phát hiện và đặt tên cho chiến dịch phần mềm độc hại là “Operation Poison Needles”, họ không cho rằng cuộc tấn công được bảo trợ từ một tổ chức chính phủ nào đó.

Tuy nhiên, kể từ khi các tài liệu được chế tạo độc hại có mục đích là một ứng dụng làm việc cho một phòng khám chăm sóc sức khỏe của Nga được liên kết với Presidential Administration của Nga và được tải lên VirusTotal từ một IP của Ucraina, các nhà nghiên cứu tin rằng những kẻ tấn công có thể đến từ Ukraine. do sự căng thẳng chính trị giữa hai nước.

Lỗ hổng này ảnh hưởng đến các phiên bản Adobe Flash Player 31.0.0.153 và các phiên bản trước đó, với các sản phẩm bao gồm Flash Player Desktop Runtime, Flash Player cho Google Chrome, Microsoft Edge và Internet Explorer 11. Các phiên bản Adobe Flash Player Installer 31.0.0.108 và phiên bản cũ hơn cũng bị ảnh hưởng.

Các nhà nghiên cứu đã báo cáo ngày khai thác Flash zero-day cho Adobe vào ngày 29 tháng 11, sau đó công ty thừa nhận vấn đề và phát hành phiên bản Adobe Flash Player 32.0.0.101 được cập nhật cho Windows, macOS, Linux và Chrome OS; và Trình cài đặt Adobe Flash Player phiên bản 31.0.0.122.

Các bản cập nhật bảo mật bao gồm một bản vá cho lỗ hổng zero-day được báo cáo, cùng với bản sửa lỗi cho lỗ hổng tấn công DLL “quan trọng” (CVE-2018-15983), có thể cho phép kẻ tấn công đạt được đặc quyền leo thang thông qua Flash Player và tải một tệp DLL độc hại .

Tags: , ,