Adobe Flash Player Zero Day Zafiyeti (CVE-2018-15982)

Adobe Flash Player Zero Day Zafiyeti (CVE-2018-15982)

Siber güvenlik araştırmacıları, Adobe Flash Player’da yeni bir zero day açığı keşfettiler. Bu açıkla birlikte, bilgisayar korsanları Rus devlet sağlık kurumlarını aktif olarak sömürüyorlar.
CVE-2018-15982 olarak tanımlanan güvenlik açığı, bir saldırganın hedeflenen bilgisayarda rasgele kod yürütmesine ve sonunda sistem üzerinde tam denetim kazanmasına izin veren bir açıktır.

Yeni keşfedilen Flash Player’ın zero day açığının, geçen hafta Ukraynalı bir IP adresinden çevrimiçi çok motorlu kötü amaçlı yazılım tarama hizmeti olan VirusTotal’a gönderilen kötü niyetli Microsoft Office belgelerini inceleyen araştırmacılar tarafından fark edildi.
Kötü amaçlı hazırlanmış Microsoft Office belgeleri, hedeflenen kullanıcı tarafından açıldığında gömülü bir Flash Active X denetimi içerir.

Hazırlanan kötü niyetli Microsoft Office belge görseli:

Flash Active X denetim izni istenen görsel:


Siber güvenlik araştırmacılarına göre, ne Microsoft Office dosyası (22.docx) ne de Flash açığı (kendi içinde), sistem üzerinde kontrolü ele almak için nihai yükü içermez.
Bunun yerine, aslında gizli bir arşiv dosyası olan bir görüntü dosyası (scan042.jpg) içinde saklanır. Bu dosya, bir Microsoft WinRAR arşivindeki Microsoft Office dosyasıyla birlikte paketlenmiş olan bir arşiv dosyasıdır ve daha sonra, spear-phishing e-postaları aracılığıyla dağıtılır. Belgeyi açtıktan sonra, Flash çalıştırma izniyle  görüntü dosyasını arşivden çıkarmak için sistem üzerinde bir komut çalıştırır ve VMProtect ile korunan ve aşağıdaki özelliklere sahip bir arka kapı kurmak üzere programlanan son veri yükünü (yani, backup.exe) çalıştırır.

Oluşturulan scan042.jpg ve backup.exe dosyalarının görseli:

Bu zero day açığı zafiyeti kullanan siber korsanlarına ne gibi imkanlar verir?

  • Kullanıcı aktivitelerini izleme (klavye veya fareyi hareket ettirme)
  • Sistem bilgilerini toplamak ve bir uzaktan kumanda ve kontrol (C & C) sunucusuna göndermek,
  • Kabuk kodu yürütme,
  • Bellekte PE yükleme,
  • Dosya indirme,
  • Kod çalıştırma,
  • Kendini imha etme.

Bu güvenlik açığı, Flash Player Desktop Runtime, Google Chrome için Flash Player, Microsoft Edge ve Internet Explorer 11 gibi ürünler için Adobe Flash Player sürüm 31.0.0.153 ve önceki sürümleri etkilemektedir. Adobe Flash Player Installer’ın 31.0.0.108 sürümleri ve önceki sürümleri de etkilenir.
Araştırmacılar, 29 Kasım’da zero day açığını bildirdiler. Şirket bu sorunu kabul etti ve Windows, macOS, Linux ve Chrome OS için güncellenmiş Adobe Flash Player 32.0.0.101 ve Adobe Flash Player Yükleyici sürümü 31.0.0.122 yayınlandı.

Günümüzde Ukrayna – Rusya arasındaki siyasi gerilim devam ederken, akıllara Ukrayna devleti destekli bir korsan saldırı olabileceği ihtimalini getiriyor.
Çinli siber güvenlik firması Qihoo 360 Core Security’daki araştırmacılara göre, saldırının keşfedilmesini sağlayan VirusTotal’e yüklenen dosya bir Ukrayna IP’sinden gelsede, saldırı devlet destekli bir bilgisayar korsanlığı olması mümkün gözükmüyor.

Kaynak: TheHackerNews

Related Posts

Facebook Comments