Una vulnerabilità zero-day nel software di Adobe Flash Player. I ricercatori di Kaspersky Lab hanno scovato la falla presa di mira da exploit distribuiti tramite un sito web del governo creato per raccogliere le denunce pubbliche riguardanti le violazioni della legge in Medio Oriente.
A metà aprile gli esperti di Kaspersky Lab hanno analizzato i dati provenienti dal Kaspersky Security Network e hanno scoperto un exploit mai visto in precedenza. Attraverso un esame più approfondito si è scoperto che l’exploit stava usando una vulnerabilità, anche questa sconosciuta, all’interno del popolare software multimediale Adobe Flash Player. La vulnerabilità era presente in Pixel Bender – un vecchio componente progettato per il video e l’elaborazione fotografica.
Ulteriori indagini hanno accertato che gli exploit sono stati distribuiti da un sito web creato nel 2011 dal Ministero della Giustizia siriano per consentire alle persone di presentare i reclami inerenti alle violazioni della legge. Secondo la società l’attacco è stato progettato per individuare i dissidenti siriani che si lamentavano del governo.
Gli esperti di Kaspersky Lab hanno scoperto, in totale, due tipi di exploit con qualche differenza per quanto riguarda lo shellcode (un piccolo pezzo di codice utilizzato come payload quando si sfrutta la vulnerabilità di un software).
“Il primo exploit ha mostrato un comportamento piuttosto primitivo di download e esecuzione di payload mentre il secondo ha provato ad interagire con Cisco MeetingPlace Express Add-In, uno speciale plugin di Flash per il co-working che consente una visione congiunta di documenti e immagini sul desktop del PC dell’utente – spiega Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager di Kaspersky Lab – Questo plugin è del tutto regolare, ma in circostanze particolari come queste potrebbe essere usato come strumento di spionaggio. Inoltre abbiamo scoperto che questo ‘secondo’ exploit funziona solo se sul Pc è stata installata una determinata versione di Flash Player e di Cmp Add-In. Questo vuol dire che i criminali avevano pensato ad un attacco rivolto ad una lista molto limitata di vittime”.
Subito dopo aver scoperto il primo exploit, gli specialisti di Kaspersky Lab hanno contattato i rappresentanti di Adobe per informarli della nuova vulnerabilità. Dopo aver esaminato le informazioni fornite da Kaspersky Lab Adobe ha riconosciuto che la vulnerabilità ha uno status zero-day e ha di conseguenza, sviluppato una patch resa disponibile sul sito di Adobe.
“Nonostante siano stati indivduati solo un numero limitato di tentativi volti a sfruttare questa vulnerabilità, raccomandiamo vivamente agli utenti di aggiornare la versione del software Adobe Flash Player – sottolinea Zakorzhevsky – E’ possibile che una volta che le informazioni su questa vulnerabilità vengano rese note, i criminali possano cercare o di riprodurre questi nuovi exploit o in qualche modo tentare di ottenere le varianti esistenti e utilizzarle in altri attacchi. Anche con una patch disponibile, i criminali informatici si aspettano di trarre profitto da questa vulnerabilità considerato che un aggiornamento a livello mondiale di un software cosi utilizzato come Flash Player richiederà sicuramente un periodo di tempo non breve. Purtroppo questa vulnerabilità sarà pericolosa ancora per un po’”.
E’ la seconda volta quest’anno che gli specialisti di Kaspersky Lab scoprono una vulnerabilità di tipo zero-day. Nel mese di febbraio, gli specialisti dell’azienda hanno scoperto un’altra vulnerabilità zero-day sempre in Adobe Flash Player, che consentiva ai criminali di infettare il computer della vittima.
