أظهر المتسللون المتقدمون أنك لا تحتاج بالفعل إلى متصفحات لاستغلال ثغرات Flash Player على Windows. الاوفيس يقوم بهذه المهمة .
أصدرت شركة Adobe تحديثا لمعالجة مشكلة حرجة تؤثر على Flash Player والتي يتم استغلالها بشكل نشط ، والمعروفة باسم عيب zero-day.
تحث Adobe المستخدمين على التحديث من Adobe Flash Player 29.0.0.171 إلى النسخة المصححة 30.0.0.113. كما يتناول ثلاثة عيوب أخرى.
استغلال لثغرة CVE-2018-5002 خلسة في مرفقات Excel عبر البريد الإلكتروني باستخدام تقنية جديدة مصممة لتقليل مخاطر الكشف عن طريق مكافحة الفيروسات .
تم اكتشاف الخلل من قبل الباحثين في شركات الأمن Iceberg و Qihoo 360 Core Security ، والتي قدمت تحليلات منفصلة للتقنيات.
بدلا من تضمين محتوى فلاش ضار مباشرة في مستند Office ، والذي قد يتم اكتشافه من خلال تحليل الاكواد البرمجية الخاصة به ، يستدعي ملف Excel في Flash exploit من سرفر بعيد.
يلاحظ Iceberg أن التضمين عن بعد يساعد في تجنب الكشف لأن المستند لا يحتوي على أي تعليمات برمجية ضارة.
يسمح تحميل ملف فلاش الخبيث عن بعد أيضا للمهاجم باختيار الاستغلالات بشكل انتقائي للأهداف المستندة إلى عنوان IP ، أو تجنب الأهداف غير المستندة إلى مزود خدمة إنترنت أو مزود سحابة أو منتج أمان.
بعد فتح مستند Excel الضار ، سيطلب ملف Flash Shock Wave (SWF) الخبيث الذي تم تنزيله من سرفر تم إنشاؤه بواسطة مهاجم.
ثم يطلب ملف SWF البيانات المشفرة ومفاتيح فك التشفير ، والتي يستخدمها المهاجم لفتح وتشغيل استغلال Flash.
حالما يتم تشغيل ثغرة فلاش ، يطلب الملف شفرة خبيثة من الخادم البعيد ويقوم بتنفيذها على جهاز الضحية ، التي تقدم تروجن ربما تنشئ باب خلفي على الجهاز.
ويشير Iceberg إلى أن الاستخدام المشترك للتضمين عن بعد وتشفير الpublic-key لإخفاء عملية الاستغلال يجعل من الصعب للغاية على المستجيبين تحليل العدوى.
جميع البيانات المرسلة من خادم المهاجم إلى الجهاز المستهدف محمية بواسطة تشفير AES متماثل ، في حين أن مفتاح AES المتماثل محمي بواسطة تشفير RSA غير متماثل.
كما كتب الباحثون في Iceberg "لفك تشفير بيانات الحمولة ، يقوم العميل بفك تشفير مفتاح AES المشفر باستخدام مفتاحه الخاص الذي تم إنشاؤه عشوائيا ، ثم فك تشفير بيانات البيانات باستخدام مفتاح AES الذي تم فك تشفيره" ، .
"تعد الطبقة الإضافية من تشفير الpublic-key ، مع مفتاح تم إنشاؤه بشكل عشوائي أمرا مهما هنا. باستخدامه يجب على المرء إما استرداد المفتاح الذي تم إنشاؤه عشوائيا أو كسر تشفير RSA لتحليل الطبقات اللاحقة للهجوم.
"إذا تم تنفيذه بشكل صحيح ، فإن هذا يجعل التقاط الحزم في تحليل الجنائي الرقمي ومنتجات الأمان غير فعال. وعلاوة على ذلك فإن الحمولات غير المشفرة للبيانات سوف تبقى في الذاكرة فقط ، وتتحدى تحليلات الجنائية الرقمية التقليدية للأقراص .
وفقًا لمحلل CERT / CC Will Dormann ، يقدم تصحيح Adobe لـ CVE-2018-5002 موجها جديدا يحذر المستخدمين من المخاطر الأمنية المحتملة قبل تحميل المحتوى عن بعد.
لذا ، لماذا استخدام Office لتقديم مشغل الفلاش استغلال؟ كما لاحظ باحثو Iceberg ، في حين أن المتصفحات مثل Chrome يحظرون Flash ، يدعم الاوفيس Office الآن عناصر تحكم Active X المضمنة في Flash.
تم استخدام تقنية مشابهة في استغلال مشغل فلاش لمدة يوم واحد تم تضمينه أيضا في مستند Excel تم تصحيحه في فبراير . وقد نسب هذا الهجوم إلى قراصنة كوريين شماليين.
استشارية مايكروسوفت تقدم لآخر تحديث أدوبي إرشادات للمشرفين لمنع مشغل فلاش من يعمل في مكتب.
لا ينسب Qihoo 360 و Iceberg الهجوم إلى أي دولة. ومع ذلك قال الباحثون Qihoo 360 ، "جميع القرائن تظهر هذا هو هجوم APT نموذجي."
وتشك كلتا الشركتين في أن الأهداف تتمركز في قطر لأن اسم النطاق المستخدم من قبل المهاجمين كان "people.dohabayt [.] com" ، والذي يتضمن "الدوحة" ، عاصمة قطر. يشبه النطاق أيضا موقع الويب الشرعي للتعيين في الشرق الأوسط 'bayt [.] com'.
بالإضافة إلى ذلك ، تم تحميل مستند Excel الضار إلى Total Virus من عنوان IP في قطر. وتشير محتويات اللغة العربية في ملف Excel إلى أن الأهداف تشمل أي شخص يهتم بالرواتب في سفارة بتفاصيل الدفع للأمناء والسفراء والدبلوماسيين.
[favorite]
[favorite]
إرسال تعليق