Północnokoreańscy hakerzy uderzyli przez Flash Playera. Łatki oczywiście brak

Południowokoreański CERT ostrzega – w Sieci pojawił sięszkodnik wykorzystujący podatność 0-day w odtwarzaczu Flash.Stworzony najwyraźniej przez północnokoreańskich hakerów dopenetracji sieci południowego sąsiada, rozpowszechnia się jednakteż poza półwysep w postaci dokumentów z osadzonymi w nichplikami SWF. Otworzenie takiego dokumentu prowadzi do uruchomieniazłośliwego kodu na komputerze z uprawnieniami aktualniezalogowanego użytkownika.

Adobe w ciągu zeszłego roku załatało w odtwarzaczu Flashłącznie 63 luki, z czego 57 uznane zostały za krytyczne. Nieżle,jak na mające niespełna 20 MB środowisko uruchomieniowe dlamultimedialnych aplikacji. Intensywne łatanie nie ustrzegło tojednak firmy przed październikową falą ataków, wykorzystującychpodatność 0-day CVE-2017-11292,pozwalającą na zdalne uruchomienie kodu.

Minął raptem kwartał, a znów mamy problem z Flash Playerem.Aktualna wersja odtwarzacza, oznaczona numerem 28.0.0.137, jestpodatna na exploity wykorzystujące lukę CVE-2018-4878.Ponownie mamy do czynienia z atakiem typu use-after-free, ponowniepozwala on na zdalne uruchomienie dostarczonego kodu – o ileuzłośliwiony plik SWF zostanie w jakiś sposób otwarty.

Nowoczesne przeglądarki, takie jak Google Chrome i MozillaFirefox nie pozwalają już na otwieranie aplikacji Flash zniezaufanych źródeł, niestety jednak użytkownicy oprogramowaniabiurowego Microsoftu są tu łatwym celem. Osadzenie pliku ShockwaveFlash Object w dokumencie Worda czy Excela jest bardzo łatwe. Cogorsza, można w ustawieniach osadzonego obiektu skonfigurować gotak, że zostanie automatycznie odtworzony po otwarciu dokumentu.

Flash 0day vulnerability that made by North Korea used from mid-November 2017. They attacked South Koreans who mainly do research on North Korea. (no patch yet) pic.twitter.com/bbjg1CKmHh

— Simon Choi (@issuemakerslab) February 1, 2018Tak właśnie rozpowszechniany jest szkodnik stworzony przezhakerów Koreańskiej Republiki Ludowo-Demokratycznej, który uderzyłprzede wszystkim w południowokoreańskich badaczy zajmujących sięzagadnieniami związanymi z północnym sąsiadem. Trafił on jednakteż w ręce innych grup cyberprzestępczych, które metodamiodwrotnej inżynierii starają się poznać podatność i wykorzystaćją do własnych celów – im prędzej tym lepiej, łatki nadziurawego Flash Playera wciąż nie ma.

0-day we Flash Playerze wciąż jest bardzo wartościowy dlanapastników. Mimo że Adobe zapowiedziało wycofanie tej technologiido 2020 roku, według analiz W3Tech z Flasha korzysta wciąż ponad5,4% wszystkich witryn w Internecie, w tym wiele bardzo popularnych.Podczas gdy Silverlight i Java w przeglądarkach praktycznieprzestały istnieć, technologia Adobe trzyma się mocno.

Zwykli użytkownicy nie mają bowiem pojęcia o zagrożeniachzwiązanych ze stosowaniem tego środowiska uruchomieniowego, zaśnawet i webdeweloperom nie uśmiecha się przenoszenie ich pięknych,wymuskanych stron we Flashu na czasochłonny i często im obcy HTML5.Pozostaje też kwestia gier webowych, szczególnie dla dzieci, takichjak choćby popularne gry firmy DuckieDeck – wszystkie wymagają Flasha.

Jeśli nie odczuwacie jednak potrzeby uruchomienia gier DuckieDecka, to prosimy – naprawdę, odinstalujcie Flash Playera zsystemu.