Come noto, Flash Player è destinato a "morire" definitivamente nel 2020, ma fino ad allora gli utenti dovranno combattere i vari rischi per la sicurezza connessi al popolare plug-in. non è un caso che in questi giorni Adobe abbia rilasciato un aggiornamento che è andato a risolve ben 4 nuove vulnerabilità, una delle quali può essere sfruttata per colpire target specifici con attacchi contro Office. In pratica da qualche anno ormai in tutti i principali browser moderni il plug-in in questione è disattivato di default in modo da evitare l'esecuzione automatica dei contenuti Flash e prevenire così eventuali attacchi e/o infezioni. Tuttavia i malintenzionati cercano alternative per colpire gli utenti, una della quali prevede proprio l'inserimento dei file Flash all'interno di documenti Office; difatti una delle suddette vulnerabilità, (nota con il nome CVE-2018-5002 e scoperta da alcuni ricercatori di ICEBRG e Qihoo 360), sfrutta proprio il download del contenuto infetto attraverso le edizioni più vecchie della nota suite di casa Microsoft. In sostanza generalmente il documento Office, (in questo caso un file Excel), viene inviato come allegato di un messaggio di posta elettronica e quando l'utente lo apre, (pensando si tratti di un comune file), viene avviato automaticamente e senza che il destinatario se ne accorga il download del codice infetto da un server remoto, in quanto così facendo la sua rilevazione è più difficile ed i malintenzionati possono specificare il target in base all'indirizzo IP. Al riguardo i ricercatori di ICEBRG hanno spiegato: "Il documento "armato" è un documento a tema in lingua araba che si propone di informare la vittima degli aggiustamenti salariali dei dipendenti. La maggior parte dei titoli di lavoro inclusi nel documento sono di natura diplomatica, riferiti in particolare a stipendi con posizioni connesse a segretari, ambasciatori, diplomatici, ecc...". Mentre i ricercatori di Qihoo 360 hanno aggiunto: "Tutti gli indizi mostrano che questo è un tipico attacco APT. L'aggressore ha sviluppato piani sofisticati nel cloud ed ha trascorso almeno 3 mesi a prepararsi per l'attacco. Anche il contenuto dettagliato dell'attacco di phishing è stato adattato al target di attacco". Ad ogni modo, come già anticipato, Adobe ha già individuato alcuni attacchi contro computer Windows ed ha deciso di distribuito una nuova versione di Flash Player un po' in anticipo rispetto al tradizionale appuntamento, (previsto ogni secondo Martedì del mese). Inoltre le edizioni più recenti di Office bloccano automaticamente i contenuti Flash, mentre per quelle del 2007 e del 2010 è necessario disattivare i controlli ActiveX nel Centro protezione, seguendo la guida pubblicata da Microsoft. Comunque sia per risolvere tutte e le 4 vulnerabilità, (per la precisione CVE-2018-4945, CVE-2018-5000, CVE-2018-5001 ed, appunto, CVE-2018-5002), è necessario, infine, installare il prima possibile la versione 30.0.0.113 del Flash Player per tutte le piattaforme.
Di seguito un'immagine che riassume l'exploit di CVE-2018-5002:
...ed uno screenshot del suddetto documento Excel:
Commenti
Posta un commento