Vulnerabilitate de tip zero-day in Adobe Flash Player

30 aprilie 2014

Subsistemul de detecţie euristică al Kaspersky Lab a blocat cu succes atacuri lansate prin intermediul unei vulnerabilităţi de tip zero-day din software-ul Adobe Flash. Cercetătorii Kaspersky Lab au descoperit această lacună, care a fost folosită de exploit-uri distribuite prin intermediul unui website guvernamental legitim, creat pentru a colecta plângeri publice cu privire la încălcări ale legii într-o ţară din Orientul Mijlociu.

Subsistemul de detecţie euristică al Kaspersky Lab a blocat cu succes atacuri lansate prin intermediul unei vulnerabilităţi de tip zero-day din software-ul Adobe Flash. Cercetătorii Kaspersky Lab au descoperit această lacună, care a fost folosită de exploit-uri distribuite prin intermediul unui website guvernamental legitim, creat pentru a colecta plângeri publice cu privire la încălcări ale legii într-o ţară din Orientul Mijlociu.

La mijlocul lunii aprilie, experţii Kaspersky Lab care analizează informaţiile colectate de Kaspersky Security Network, au descoperit un exploit necunoscut anterior. La o examinare mai atentă, experţii au descoperit că exploit-ul folosea o vulnerabilitate nedetectată anterior din Adobe Flash Player. Vulnerabilitatea se află în Pixel Bender - o componentă veche, utilizată pentru procesarea fotografiilor şi a fişierelor video.

Analiza ulterioară a constatat că exploit-urile au fost distribuite prin intermediul unui website creat în 2011 de către ministerul sirian de justiție pentru a permite oamenilor să depună plângeri cu privire la încălcări ale legii. Experţii Kaspersky Lab consideră că atacul a fost lansat pentru a viza disidenții sirieni care se plângeau de guvern.

Astfel, au fost descoperite, în total, două tipuri de exploit-uri, cu diferențe în shellcode (o mică parte de cod, folosită ca payload pentru exploatarea unei vulnerabilități de software).

„Primul exploit avea un comportament de payload destul de primitiv de descărcare şi lansare, însă cel de-al doilea încerca să interacționeze cu Add-In-ul Cisco MeetingPlace Express - un plug-in Flash special folosit pentru acţiuni simultane, în special pentru afişarea documentelor și a imaginilor de pe PC-ul unui prezentator”, a declarat Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager în cadrul Kaspersky Lab. „Acest plug-in este complet legitim, dar în aceste circumstanțe speciale ar putea fi folosit ca un instrument de spionaj. Mai mult decât atât, am descoperit că acest al doilea exploit funcţionează doar în cazul în care anumite versiuni de Flash Player și CMP Add-In sunt instalate pe PC-ul atacat. Acest lucru înseamnă că, probabil, atacatorii vizează o listă foarte limitată de victime", a completat Vyacheslav Zakorzhevsky.

Imediat dupa ce au descoperit primul exploit, specialiștii Kaspersky Lab au contactat reprezentanţii Adobe pentru a-i informa cu privire la noua vulnerabilitate. După examinarea informațiilor furnizate de Kaspersky Lab, Adobe a recunoscut că vulnerabilitatea are un statut de tip zero-day și a dezvoltat un patch care este acum disponibil pe site-ul Adobe. Numărul CVE al acestei vulnerabilităţi este CVE-2014-0515.

„Deși numărul de încercări de a exploata această vulnerabilitate a fost limitat, recomandăm insistent utilizatorilor să actualizeze software-ul Adobe Flash Player. Este posibil ca, odată ce informațiile despre această vulnerabilitate devin cunoscute, infractorii să încerce să reproducă aceste noi exploit-uri sau să obțină variantele existente și să le utilizeze în alte atacuri. Chiar dacă un patch este disponibil, infractorii cibernetici se așteaptă să profite de această vulnerabilitate, deoarece o actualizare la nivel mondial a unui software popular cum este Flash Player va lua ceva timp. Din păcate, această vulnerabilitate va continua să fie periculoasă pentru o vreme", a avertizat Vyacheslav Zakorzhevsky.

Mai multe informații despre această vulnerabilitate de tip zero-day descoperită recent în Adobe Flash pot fi găsite aici.

Este a doua oară în acest an când experţii Kaspersky Lab descoperă o vulnerabilitate de tip zero-day. În luna februarie, specialiștii companiei au descoperit CVE-2014-0497- o altă vulnerabilitate zero-day din Adobe Flash Player, care permite atacatorilor să infecteze pe ascuns PC-urile victimelor.

Subsistemul de detecţie euristică

Subsistemul de detecție euristică este o parte a motorului antivirus, fiind prezent în mai multe produse Kaspersky Lab pentru utilizatori individuali şi companii, cum ar fi Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business și altele. La fel ca un antivirus tradițional, acest sistem folosește o bază de date de semnături pentru a detecta programele malware. Dar, în timp ce tehnologia antivirus necesită, de obicei, o semnătură pentru fiecare piesă individuală a malware-ului, indiferent de cât de strâns legate ar fi acestea, detecția euristică poate acoperi o întreagă varietate de programe malware. Ea face acest lucru cu ajutorul euristicii - semnături speciale, care detectează nu numai malware individual, ci şi întreaga colecție de programe malware grupate în funcție de o listă de caracteristici speciale. Semnătura euristică responsabilă pentru descoperirea comportamentului noului exploit de tip zero-day din Adobe Flash, a fost inclusă în bazele de date Kaspersky Lab încă din luna ianuarie.

Mai mult decât atât, în timpul unui test special realizat de specialiștii Kaspersky Lab, aceştia au descoperit că exploit-urile care folosesc CVE-2014-0515 sunt detectate cu precizie de tehnologia Kaspersky Lab Automatic Exploit Prevention- un alt instrument eficient pentru detectarea ameninţărilor.

În noiembrie 2013, aceeași tehnologie a blocat cu succes atacurile care foloseau o vulnerabilitate de tip zero-day din programul Microsoft Office. De asemenea, la sfârșitul anului 2012, tehnologia a blocat în mod proactiv mai multe componente malware, care - așa cum a fost descoperit mai târziu - au aparţinut operaţiunii Octombrie Roșu, o campanie de spionaj cibernetic la scară largă detectată de cercetatorii de Kaspersky Lab în ianuarie 2013.

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

Peste o treime (37%) dintre organizațiile din România au trecut prin cel puțin un atac cibernetic, cu diferite consecințe, în ultimele 24 de luni

Creșterea complexității infrastructurii IT de business și a amenințărilor le creează factorilor de decizie din domeniul IT din ce în ce mai multe dificultăți în a-și proteja organizațiile de amenințări cibernetice. Astfel, peste jumătate dintre organizațiile din Europa (54%) s-au confruntat cu cel puțin un atac cibernetic în ultimele 24 de luni, care le-a creat pr...

Citește tot arrow_forward

ERP – 15 Motive pentru care trebuie să achiziționezi un astfel de sistem

In cele ce urmeaza, dorim să evidențiem pe scurt cele mai importante 15 motive care ar trebui să determine decizia de implementare a unui sistem de tip ERP.1. CompetițiaAi ajuns cu mult efort, sacrificii, și desigur inspirație și creativitate unde ești acum cu firma ta.În decursul timpului te-ai confruntat sau cel puțin te-ai comparat cu concurența.Ei bine, implementarea unui siste...

Citește tot arrow_forward

Ocean Fish proceseaza 12 tone pe zi cu solutia WMS de la Senior Software

Ocean Fish proceseaza peste 12 tone pe zi cu ajutorul sistemului de management al depozitului de la Senior Software. Cel mai mare producator de produse din peste din tara a implementat sistemul WMS pentru a gestiona cele doua depozite de produse congelate de tip drive-in, cu o capacitate de 5.400 de paleti si cele doua spatii clasice de depozitare cu o capacitate de 1.600 de paleti....

Citește tot arrow_forward