Reading Time: 2 minutes

A Adobe lançou atualizações de segurança para o Flash Player que abordam duas vulnerabilidades, incluindo uma falha crítica, identificada como CVE-2018-15982, explorada pelos criminosos em ataques direcionados.

A Adobe corrigiu duas falhas, incluindo um critical use-after-free bug, identificado como CVE-2018-15982, explorado por um agente de ameaça persistente avançado (APT) destinado a uma organização de saúde associada à administração presidencial da russia.

 A falha podia ser explorada in-the-wild pelos atacantes de forma a executarem código arbitrário. A Adobe resolveu a falha com o lançamento do Flash Player 32.0.0.101 para Windows, macOS, Linux e Chrome OS.

“Adobe has released security updates for Adobe Flash Player for Windows, macOS, Linux and Chrome OS. These updates address one critical vulnerability in Adobe Flash Player and one important vulnerability in Adobe Flash Player installer.” reads the security advisory published by Adobe.

“Successful exploitation could lead to Arbitrary Code Execution and privilege escalation in the context of the current user respectively. 

Adobe is aware of reports that an exploit for CVE-2018-15982 exists in the wild.”

 

A Adobe creditou os seguintes especialistas por comunicarem a falha CVE-2018-15982:

  • Chenming Xu and Ed Miles of Gigamon ATR
  • Yang Kang (@dnpushmen) and Jinquan (@jq0904) of Qihoo 360 Core Security (@360CoreSec)
  • He Zhiqiu, Qu Yifan, Bai Haowen, Zeng Haitao and Gu Liang of 360 Threat Intelligence of 360 Enterprise Security Group
  • independent researcher b2ahex

 

Os atacantes usavam documentos Word como arquivos em Flash com vulnerabilidades zero-day de forma a conseguir chegar a um grande número de vítimas. O documento Word está embebido num ficheiro RAR com uma imagem JPG. Quando a vulnerabilidade do Flash é acionada, o malware extrai o código RAT incorporado na imagem JPG.

“The attack strategy is very clever: Flash file with 0day vulnerability is inserted into decoy Word document which is compressed into one RAR file with a JPG picture. When Flash 0day vulnerability is triggered, it will extract out RAT from that JPG picture. Such trick aims to avoid detection of most security software. This RAT has same digital signature as one RAT which is very likely written by Hacking Team, latter was found August 2018. We believe that the new RAT is an upgrade version of Hacking Team’s RAT.” reads the analysis published by 360 the Enterprise Security Group.

“This vulnerability and exploitation code could be reused by cybercriminals even other APT groups for large-scale attacks, we would suggest users to take necessary protection, like applying latest Adobe Flash patch.”

Adobe-zero-day

Os investigadores apontaram que o documento Word em idioma russo foi submetido ao VirusTotal a partir de um endereço IP ucraniano.

Investigadores do Qihoo 360 observaram que o ataque foi lançado poucos dias após o incidente do Kerch Strait incident , ocorrido em 25 de novembro, quando barcos da guarda costeira do Serviço de Segurança Federal da russia (FSB) dispararam e capturaram três navios da Marinha da Ucrânia.

“The vulnerability (CVE-2018-15982) allows for a maliciously crafted Flash object to execute code on a victim’s computer, which enables an attacker to gain command line access to the system.” reads the post published by Gigamon.

The document was submittedto VirusTotal from a Ukranian IP address and contains a purported employment application for a Russian state healthcare clinic. “

 

Os investigadores observaram a exploração do exploit de dia zero do Flash através de um ataque direcionado ao FSBI “Polyclinic No. 2” da Diretoria Administrativa do Presidente da Federação Russa.

Uma vez executado, o documento Word mostra um questionário ao pessoal do hospital de Moscovo, enquanto o exploit de dia zero é executado em segundo plano.

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.