HWSW

Office fájlokba bújtatott Flash biztonsági réssel támadtak diplomatákat

A többlépcsős támadás dokumentumokba ágyazott SWF tartalmakra támaszkodott, miután a böngészőknél már általános gyakorlat a Flash lekapcsolása.

Érdekes útvonalat találtak online támadók a Közel-Keleten dolgozó diplomaták számítógépeire: Microsoft Office dokumentumokon keresztül betöltött Flash tartalmak zero-day sebezhetőségét kihasználva igyekeztek átvenni az uralmat a megcélzott gépek fölött. A sérülékenységet, illetve a támadásokat egymástól függetlenül két biztonsági cég, a Qihoo 360 [1]és az Icebrg is kiszúrta, [2] és jelentette azokat az Adobe felé, amely gyors tempóban kiadta a javítást tartalmazó frissítést. A két szakértőcsapat közül az Icebrg volt a gyorsabb, a cég elsőként jelzett az Adobe-nak a problémával kapcsolatban június 1-jén, a vállalat pedig kevesebb mint egy héten belül kiadta rá a javítást.

Ahogy a kutatók támadásokhoz kapcsolódó blogposztjukban taglalják, a CVE-2018-5002 kódnéven ismert biztonsági rés kihasználásának első lépése egy kártékony SWF (Shockwave Flash) fájl letöltése és megnyitása az áldozat számítógépén. Sok hasonló megoldással ellentétben a fájl nem közvetlenül tartalmazza a sérülékenység kihasználásához szükséges kódot, hanem a támadók szervereiről húzza be azt.

Miután a legtöbb modern böngésző mára alapértelmezetten kikapcsolja a Flash-t, annak sebezhetőségeit online bűnözők előszeretettel használják ki a Microsoft Office termékeken keresztül. Ehhez jellemzően beágyazott Flash tartalmakat vetnek be, amelyek aztán további malware-fázisok előtt nyitják meg a rendszer kapuit - de akár maguk is tartalmazhatják a teljes kártevőcsomagot. A CVE-2018-5002 inkább előbbi megoldást választották, miután annak több előnye is van: maga a dokumentum nem tartalmaz önmagában kártékony kódot, a biztonsági szoftverek legfeljebb a Flash tartalmat csíphetik el benne - emellett a megoldás a célzott támadások végrehajtásához is ideális, hiszen a támadó a célpontot "személyre szabott" malware-elemekkel tudja kiszolgálni.

atkchn

xA támadást indító első SWF fájlban egy RSA+AES titkosítási rendszer is található, amely az adott gépen dolgozó biztonsági szoftverek elől hivatott elrejteni a kártékony tartalmakat, amelyeket az említett szerverről betöltött második fázis tartalmaz. Miután ez utóbbi eljut a számítógépre, ahol a Flash sérülékenységet kihasználva kódfuttatási jogosultságot szerez, és ugyancsak a titkosítási megoldást használva tölt le további kódot a támadók szervereiről, amivel azok még nagyobb kontrollt szereznek az adott számítógépen.

A szakértők által is megszerzett fájl egy arab nyelvű XLSX dokumentum, a fájlnév jelentése pedig nagyjából annyit tesz "bérezés". A dokumentumban egy sor adat található különböző diplomáciai pozíciókhoz tartozó fizetésekről, adott időszakokra lebontva. Miután a támadás főként diplomatákat célzott, a jelenlegi információk alapján a katari régióban, az Iceberg szerint nem kizárt, hogy az esett mögött valamilyen kormányzati háttérrel rendelkező támadók állnak.

Az ügyben a Microsoft is igyekezett megtenni a megfelelő lépéseket, a napokban egy útmutatót is közzétett [3]az ActiveX lekapcsolására az Office 2007 és Office 2010 termékekben. Ahogy azt az Ars Technica is kiemeli [4], a Flash tartalmakat az Office 2016 is alapértelmezetten blokkolja, noha a szoftvercsomag többi verziója kapcsán egyelőre nem világosak a cég tervei. Szerencsére az Office 365 dokumentumokról a cég már májusban tiszta vizet öntött a pohárba, [5] azokban a 2019 januárjában mindenhol alapértelmezetten bevezeti majd a Flash-blokkolást.

A cikkben hivatkozott linkek:
[1] http://blogs.360.cn/blog/cve-2018-5002-en/
[2] https://www.icebrg.io/blog/adobe-flash-zero-day-targeted-attack
[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180014
[4] https://arstechnica.com/information-technology/2018/06/stymied-by-browsers-attackers-embed-flash-0day-inside-ms-office-document/?amp=1
[5] https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Blocking-Flash-Shockwave-Silverlight-controls-from-activating-in/ba-p/191729
A cikk adatai:
//www.hwsw.hu/hirek/58941/office-microsoft-adobe-flash-biztonsag.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2018. június 11. 13:26
Rovat: vállalati it