Các nhà nghiên cứu đã phát hiện ra lỗ hổng Adobe Flash Zero-Day mà tin tặc đang tích cực khai thác nhắm mục tiêu vào tổ chức y tế của Nga.

securitydaily_Lỗ hổng Adobe Flash Zero-Day

 

Lỗ hổng Adobe Flash Zero-Day mới này có tên là CVE-2018-15982, một lỗ hổng truy cập bộ nhớ sau khi giải phóng (use after free) nằm trong Flash Player, nếu khai thác thành công thì kẻ tấn công có thể thực thi mã từ xa trên máy tính và giành quyền kiểm soát toàn bộ hệ thống.

 

Lỗ hổng Adobe Flash Zero-Day mới được phát hiện trong các tài liệu Microsoft Office độc ​​hại vào tuần trước.

 

Các tài liệu Microsoft Office độc hại chứa bộ điều khiển Flash Active X được nhúng trong tiêu đề để khi người dùng mở file sẽ gây ra khai thác lỗ hổng Flash Player.

 

Theo các nhà nghiên cứu, cả tệp Microsoft Office (22.docx) cũng như Flash Player (bên trong tệp) đều không chứa file tấn công.

 

Thay vào đó, file tấn công ẩn trong một tệp hình ảnh lưu trữ (scan042.jpg) được lưu cùng tệp Microsoft Office bên trong kho lưu trữ WinRAR gốc, sau đó được phân phối qua các email lừa đảo, như trong video dưới đây:

 

 

 

Khi mở tài liệu, lỗ hổng Adobe Flash Zero-Day thực thi một lệnh trên hệ thống để gỡ lưu trữ tệp hình ảnh và chạy file tấn công (backup.exe) đã được bảo vệ bằng VMProtect và được lập trình để cài đặt một backdoor có khả năng:

 

Giám sát hoạt động của người dùng (bàn phím hoặc di chuyển chuột)

Thu thập thông tin hệ thống và gửi đến một máy chủ chỉ huy và kiểm soát từ xa (C & C)

Thực thi shellcode

Tải PE trong bộ nhớ

Tải tập tin

Thực thi mã

Thực hiện quá trình tự hủy

Các nhà nghiên cứu của Trung tâm nghiên cứu mối đe dọa ứng dụng Gigamon và công ty Qihoo 360 Core Security ở Trung Quốc đã phát hiện và đặt tên cho chiến dịch phần mềm độc hại là “Chiến dịch kim tiêm độc hại”. Hiện chưa tìm ra nhóm tin tặc nào đã gây ra chiến dịch tấn công qua lỗ hổng Adobe Flash Zero-Day này.

 

Lỗ hổng này ảnh hưởng đến các phiên bản Adobe Flash Player 31.0.0.153 trở về trước đối với các sản phẩm bao gồm Flash Player Desktop Runtime, Flash Player cho Google Chrome, Microsoft Edge và Internet Explorer 11. Adobe Flash Player Installer phiên bản 31.0.0.108 trở về trước cũng bị ảnh hưởng.

 

Các nhà nghiên cứu đã báo cáo lỗ hổng Adobe Flash Zero-Day cho Adobe vào ngày 29/ 11, sau đó công ty đã thừa nhận vấn đề và phát hành bản cập nhật Adobe Flash Player phiên bản 32.0.0.101 cho Windows, macOS, Linux và Chrome OS bản cập nhật cho trình cài đặt Adobe Flash Player phiên bản 31.0.0.122.

 

Các bản cập nhật bảo mật bao gồm một bản vá cho lỗ hổng Adobe Flash Zero-Day mới phát hiện cùng với bản sửa lỗi cho lỗ hổng chiếm quyền DLL nghiêm trọng (CVE-2018-15983).

LHP