Zero-Day Exploit – Pesquisadores de segurança cibernética descobriram uma nova vulnerabilidade de exploração zero-dia no Adobe Flash Player, que hackers estão explorando ativamente, como parte de uma campanha direcionada, que parece estar atacando uma instituição de saúde estatal russa.
A vulnerabilidade Zero-Day Exploit, rastreada como CVE-2018-15982, é uma falha do tipo “use-after-free” no Flash Player que, se explorada com sucesso, permite que um invasor execute código arbitrário no computador de destino e, eventualmente, obtenha controle total sobre o sistema.
A recém-descoberta de exploração zero-dia do Flash Player foi descoberto no final de novembro por pesquisadores dentro de documentos maliciosos do Microsoft Office, que foram submetidos ao serviço de varredura de malware multi-engine online VirusTotal a partir de um endereço IP ucraniano.
Os documentos do Microsoft Office criados com códigos maliciosos contêm um controle Flash Active X incorporado em seu cabeçalho, que é processado quando o usuário segmentado o abre, causando a exploração da vulnerabilidade relatada do Flash player.
Em um vídeo demonstrativo (veja o vídeo abaixo), de acordo com os pesquisadores de segurança cibernética, nem o arquivo do Microsoft Office (22.docx) nem o Flash exploit (dentro dele), contêm a carga final para assumir o controle do sistema.
Em vez disso, a carga final está escondida dentro de um arquivo de imagem (scan042.jpg), que é em si um arquivo morto, que foi compactado junto com o arquivo do Microsoft Office dentro de um arquivo WinRAR pai que é distribuído por e-mails de “spear phishing” mostrado no vídeo abaixo:
Ao abrir o documento, o Zero-Day Exploit do Flash executa um comando no sistema para desarquivar o arquivo de imagem e executar a carga final (ou seja, backup.exe) que foi protegido com o VMProtect e programado para instalar um backdoor capaz de:
• Monitor atividades do usuário (teclado ou mover do mouse);
• Coletar informações do sistema e enviá-las para um servidor remoto de comando e controle (C&C);
• Executar o “shellcode”;
• Carregar PE na memória;
• Baixar arquivos;
• Executar códigos;
• Realizar autodestruição.
Pesquisadores da Gigamon Applied Threat Research e da empresa de segurança cibernética chinesa Qihoo 360 Core Security, que identificaram e nomearam a campanha de malware como “Operation Poison Needles”, não atribuíram o ataque a nenhum grupo de hackers patrocinado pelo Estado.
No entanto, como os documentos mal-intencionados em questão pretendem ser um aplicativo de emprego para uma clínica de saúde estatal russa afiliada à Administração Presidencial da Rússia e carregada no VirusTotal de um IP ucraniano, os pesquisadores acreditam que os invasores podem vir da Ucrânia, considerando a tensão política entre os dois países.
A vulnerabilidade de exploração zero-dia afeta o Adobe Flash Player versões 31.0.0.153 e anteriores para produtos, incluindo Tempo de Execução do Flash Player Desktop, Flash Player para Google Chrome, Microsoft Edge e Internet Explorer 11. As versões 31.0.0.108 e anteriores do Adobe Flash Player Installer também são afetadas.
Pesquisadores relataram o Zero-Day Exploit do Flash para a Adobe em 29 de novembro, após o reconhecimento do problema pela empresa que liberou atualização do Adobe Flash Player versão 32.0.0.101 para Windows, macOS, Linux e Chrome OS; e o Adobe Flash Player Installer versão 31.0.0.122.
As atualizações de segurança incluem um patch para a falha relatada de exploração Zero-dia, juntamente com uma correção para uma vulnerabilidade de sequestro de DLL “importante” (CVE-2018-15983), que pode permitir que invasores obtenham escalonamento de privilégios via Flash Player e carreguem uma DLL maliciosa .
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Proteção de Dados – Perda de Dados: Causas e Prevenção.
- Proteção de Dados: Os maiores e piores ataques de ransomware de todos os tempos – Parte 2
- Proteção de Dados: Os maiores e piores ataques de ransomware de todos os tempos – Parte 1
- 10 dicas para evitar perda de dados.
- A prevenção de perda de dados (DLP) tradicional está morrendo?
- Proteção de Dados – Aqui estão as maiores ameaças de segurança cibernética a serem observadas em 2018.
- US$ 1.1 milhões são perdidos para o cibercrime a cada minuto de cada dia.
- O que é integridade de dados?