Exploit na Adobe Flash Player załatany dzięki chmurze KSN

29 kwietnia, 2014

Adobe przy współpracy z Kaspersky Lab opublikowało biuletyn bezpieczeństwa dla luki na Adobe Flash Player o nomeklaturze CVE-2014-0515, która dotyczy przepełnienia buforu. 

Biuletyn APSB14-13 identyfikuje problem przepełnienia bufora, który wpływa na różne wersje oprogramowania Adobe Flash Player na różnych platformach softwarowych. Wykorzystanie tej krytycznej luki może pozwolić atakującemu na zdalne wykonanie dowolnego kodu. Adobe potwierdziło, że wykorzystywanie tej luki została zgłoszona na dziko. Dalsze szczegóły wskazują, że exploit jest wykorzystywanyo w atakach ukierunkowanych.

Następujących wersji programuAdobe Flash Player są podatne:

  • Adobe Flash Player 13.0.0.182 i jego wcześniejsze wersje dla systemu Windows
  • Adobe Flash Player 13.0.0.201 i jego wcześniejsze wersje dla komputerów Macintosh
  • Adobe Flash Player 11.2.202.350 i wcześniejsze wersje dla systemu Linux

System wykrywania heurystycznego wbudowany w produkty Kaspersky Lab zablokował ataki prowadzone z użyciem nieznanego dotychczas błędu w zabezpieczeniach aplikacji Adobe Flash Player. Badacze z Kaspersky Lab zidentyfikowali lukę służącą do przeprowadzania ataków w ramach legalnej strony rządowej, która pierwotnie powstała w celu gromadzenia skarg obywateli w jednym z krajów Bliskiego Wschodu.

W połowie kwietnia, podczas analizy danych pochodzących z chmury Kaspersky Security Network, eksperci z Kaspersky Lab wyryli nieznany dotychczas atak. Po szczegółowym badaniu okazało się, że wykorzystuje on nieznaną wcześniej lukę w popularnym oprogramowaniu Adobe Flash Player, a dokładniej w module Pixel Plender wykorzystywanym do przetwarzania filmów i zdjęć.

Dalsza analiza wykazała, że ataki były przeprowadzane z użyciem strony stworzonej w 2011 r. przez syryjskie Ministerstwo Sprawiedliwości w celu umożliwienia obywatelom składania zażaleń dotyczących naruszeń prawa. Eksperci z Kaspersky Lab podejrzewają, że atak został zaprojektowany w celu uderzenia w syryjskich decydentów skarżących się na rząd.

Eksperci z Kaspersky Lab wykryli łącznie dwa rodzaje ataków, które wykorzystywały inny kod.

„Pierwszy atak był raczej prymitywny, natomiast drugi wykorzystywał wtyczkę Cisco MeetingPlace Express Add-In, która standardowo służy do pracy grupowej, a dokładniej do wspólnego przeglądania dokumentów i zdjęć. Wtyczka ta jest całkowicie legalna, jednak atakujący wykorzystali ją jako narzędzie szpiegowskie. Co więcej, wykryliśmy, że atak ten był skuteczny tylko na konkretnej wersji Flash Playera i wtyczki Cisco, co może oznaczać, że cyberprzestępcy celowali w bardzo wąskie grono ofiar”, tłumaczy Wiaczesław Zakorzewski, menedżer grupy odpowiedzialnej za badania nad lukami w zabezpieczeniach, Kaspersky Lab.

Natychmiast po wykryciu ataku specjaliści z Kaspersky Lab skontaktowali się z przedstawicielami Adobe, by poinformować ich o nieznanej luce. Po dokonaniu analizy informacji dostarczonych przez Kaspersky Lab eksperci z Adobe potwierdzili istnienie nieznanej luki CVE-2014-0515 i przygotowali usuwającą ją łatę, która jest już dostępna do pobrania na stronie Adobe.

źródło: Adobe, Symantec, Kaspersky Lab

 

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]