Netranet – Blog Oficial | Segurança da Informação, Proteção de Dados e Soluções de Data Center

Proteção de Dados – Novo Adobe Flash Zero-Day Exploit foi encontrado escondido dentro do MS Office Docs.

Blog Netranet Networking | Proteção de Dados – Novo Adobe Flash Zero-Day Exploit foi encontrado escondido dentro do MS Office Docs.

Blog Netranet Networking | Proteção de Dados – Novo Adobe Flash Zero-Day Exploit foi encontrado escondido dentro do MS Office Docs.

Zero-Day Exploit – Pesquisadores de segurança cibernética descobriram uma nova vulnerabilidade de exploração zero-dia no Adobe Flash Player, que hackers estão explorando ativamente, como parte de uma campanha direcionada, que parece estar atacando uma instituição de saúde estatal russa.

A vulnerabilidade Zero-Day Exploit, rastreada como CVE-2018-15982, é uma falha do tipo “use-after-free” no Flash Player que, se explorada com sucesso, permite que um invasor execute código arbitrário no computador de destino e, eventualmente, obtenha controle total sobre o sistema.

A recém-descoberta de exploração zero-dia do Flash Player foi descoberto no final de novembro por pesquisadores dentro de documentos maliciosos do Microsoft Office, que foram submetidos ao serviço de varredura de malware multi-engine online VirusTotal a partir de um endereço IP ucraniano.

Os documentos do Microsoft Office criados com códigos maliciosos contêm um controle Flash Active X incorporado em seu cabeçalho, que é processado quando o usuário segmentado o abre, causando a exploração da vulnerabilidade relatada do Flash player.

Em um vídeo demonstrativo (veja o vídeo abaixo), de acordo com os pesquisadores de segurança cibernética, nem o arquivo do Microsoft Office (22.docx) nem o Flash exploit (dentro dele), contêm a carga final para assumir o controle do sistema.

Em vez disso, a carga final está escondida dentro de um arquivo de imagem (scan042.jpg), que é em si um arquivo morto, que foi compactado junto com o arquivo do Microsoft Office dentro de um arquivo WinRAR pai que é distribuído por e-mails de “spear phishing” mostrado no vídeo abaixo:

Ao abrir o documento, o Zero-Day Exploit do Flash executa um comando no sistema para desarquivar o arquivo de imagem e executar a carga final (ou seja, backup.exe) que foi protegido com o VMProtect e programado para instalar um backdoor capaz de:

• Monitor atividades do usuário (teclado ou mover do mouse);
• Coletar informações do sistema e enviá-las para um servidor remoto de comando e controle (C&C);
• Executar o “shellcode”;
• Carregar PE na memória;
• Baixar arquivos;
• Executar códigos;
• Realizar autodestruição.

Pesquisadores da Gigamon Applied Threat Research e da empresa de segurança cibernética chinesa Qihoo 360 Core Security, que identificaram e nomearam a campanha de malware como “Operation Poison Needles”, não atribuíram o ataque a nenhum grupo de hackers patrocinado pelo Estado.

No entanto, como os documentos mal-intencionados em questão pretendem ser um aplicativo de emprego para uma clínica de saúde estatal russa afiliada à Administração Presidencial da Rússia e carregada no VirusTotal de um IP ucraniano, os pesquisadores acreditam que os invasores podem vir da Ucrânia, considerando a tensão política entre os dois países.

Netranet Networking | Segurança da Informação – Sophos Central Endpoint

A vulnerabilidade de exploração zero-dia afeta o Adobe Flash Player versões 31.0.0.153 e anteriores para produtos, incluindo Tempo de Execução do Flash Player Desktop, Flash Player para Google Chrome, Microsoft Edge e Internet Explorer 11. As versões 31.0.0.108 e anteriores do Adobe Flash Player Installer também são afetadas.

Pesquisadores relataram o Zero-Day Exploit do Flash para a Adobe em 29 de novembro, após o reconhecimento do problema pela empresa que liberou atualização do Adobe Flash Player versão 32.0.0.101 para Windows, macOS, Linux e Chrome OS; e o Adobe Flash Player Installer versão 31.0.0.122.

As atualizações de segurança incluem um patch para a falha relatada de exploração Zero-dia, juntamente com uma correção para uma vulnerabilidade de sequestro de DLL “importante” (CVE-2018-15983), que pode permitir que invasores obtenham escalonamento de privilégios via Flash Player e carreguem uma DLL maliciosa .

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.

Leia também:

Sair da versão mobile