Atak typu „Zero-Day” w Rosji powoduje wydanie patchy OOB
Atak celowany typu „zero-day” wymierzony w Rosję bazujący na błędzie w Adobe Flash Player był przenoszony przez zarażony dokument, co skłoniło zarówno Adobe, jak i Microsoft do wydania niezbędnych poprawek.
Co tak naprawdę się wydarzyło?
W godzinach porannych 29 Listopada 2018 roku, wykryto że kwestionariusz wydany przez rosyjską klinikę medyczną wydostał się do Internetu oraz jest wykorzystywany do rozpowszechniania złośliwego kodu na komputerach użytkowników końcowych, którzy go otworzą. Dokument Microsoft Word prosił użytkownika o możliwość uruchomienia „treści osadzonej” wewnątrz dokumentu, która wykorzystuje błąd w programie Adobe Flash Player do zajmowania oraz kontrolowania regionów pamięci przeznaczonych do użytku wyłącznie przez Flash Player (use-after-free).
Podatność, CVE-2018-15982 umożliwia zdalne wykonanie kodu w aplikacji Adobe Flash. W związku z tym, że Flash jest dość przestarzałą technologią webową, jej luki w zabezpieczeniach często są wykorzystywane przy pomocy spreparowanego dokumentu tekstowego.
W jaki sposób odpowiedziały firmy Adobe i Microsoft?
Co ciekawe, Adobe najwyraźniej zostało poinformowane przez kilka niezależnych źródeł o złośliwym kodzie wykorzystującym lukę w ich oprogramowaniu oraz o jej skutkach, krótko po wykorzystaniu jej w ataku „zero-day”. Chińska firma Qihoo zajmująca się bezpieczeństwem internetowym wykryła złośliwy plik w tym samym dniu, w którym Gigamon zgłosił zespołowi Adobe PSIRT (Product Security Incident Response Team) możliwość wykonania „exploitu” z wykorzystaniem tejże luki.
Po to, aby szybko załatać powstałą lukę bezpieczeństwa Adobe współpracowało z Microsoftem (rzecz jasna systemy operacyjne Windows są ściśle powiązane z oprogramowaniem Flash Player), co skutkowało wydaniem przez obie firmy dodatkowych poprawek, które zostały wypuszczone poza normalnymi datami ich udostępniania (z ang. out-of-band patch) – dla Microsoftu jest to drugi wtorek każdego miesiąca. Współpraca ta zaowocowała wydaniem poprawek bezpieczeństwa zarówno przez Adobe, jak i Microsoft w okresie krótszym niż tydzień, bowiem pojawiły się one 5 grudnia 2018 roku.
Pomimo tego, że wykryta luka (jak również jeszcze jedna ujawniona w tym samym czasie, która jest jednak mniej newralgiczna) występuje również we wszystkich poprzednich wersjach Flash Player, Microsoft zadbał o możliwość obejścia problemu bez aktualizacji. Rozwiązanie to obejmuje możliwość wyłączenia funkcji Flash Player w pakietach Office, Internet Explorer i różnych wersjach systemu Windows w celu zmniejszenia wpływu ataku w momencie jego wystąpienia.
Biorąc pod uwagę długą historię problemów związanych z bezpieczeństwem Flash Playera oraz fakt, że każdy program, który z nim współpracuje musi wyłączyć go we własnym zakresie, podobne środki bezpieczeństwa zalecają również inne przeglądarki internetowe. Na przykład Chrome dostarcza kilka sposobów na ograniczenie użycia oprogramowania Flash Player i informuje użytkownika o możliwych zagrożeniach:
niektóre witryny internetowe mogą używać Adobe Flash Player do uszkodzenia twojego komputera
Co powinni zrobić klienci Skybox?
Artykuł ten dotyczy ataku typu „zero-day” skierowanego przeciwko Rosji, jednak znane są już wcześniejsze ataki wykorzystujące podobne zagrożenia i rozprzestrzeniające się równie łatwo jak ten. Dlatego też, tak ważne jest, aby mieć pewność, że nasze systemy są bezpieczne, a urządzenia w nich w pełni zaktualizowane. Aby zapobiec opisywanemu zagrożeniu należy jak najszybciej pobrać aktualizację bezpośrednio ze strony Adobe lub też dokonać aktualizacji systemu operacyjnego Microsoft.
Jeżeli nie macie Państwo wiedzy na temat podatności, które mogą zostać wykorzystane w waszym środowisku, zapraszamy do kontaktu – z chęcią udzielimy informacji na temat oprogramowania Skybox Security, które wspomaga organizacje w odpowiednim nadawaniu priorytetów przy rozwiązywaniu problemów z podatnościami aplikacji i systemów operacyjnych.
Źródło: www.blog.skyboxsecurity.com