Nulladik napi sérülékenység az Adobe Flash Playerben

forrás: Prím Online, 2014. május 8. 08:41

A Kaspersky Lab heurisztikus észlelést alkalmazó védelmi alrendszere sikeresen blokkolta az Adobe Flash szoftver nulladik napi sérülékenységét kihasználó támadásokat. A Kaspersky Lab kutatói fedezték fel azt a biztonsági rést, amelynek a támadására kifejlesztett kihasználó kódot egy, a törvénysértések tárgyában beadott panaszok fogadására létrehozott legális szíriai kormányzati webhelyen keresztül terjesztették.

Április közepén a Kaspersky Lab szakértői a Kaspersky Security Network adatainak elemzésekor fedezték fel az addig ismeretlen kihasználó kódot. A tüzetesebb vizsgálat során kiderült, hogy a kihasználó kód a népszerű multimédia szoftver, az Adobe Flash Player egy ismeretlen sérülékenységét támadja. A sérülékenység a Pixel Binder nevű régi összetevőben található, amely a videók és fotók feldolgozását végzi.


A további vizsgálatok kiderítették, hogy a kihasználó kódokat a szíriai igazságügyi minisztérium által 2011-ben a törvénysértések tárgyában beadott panaszok fogadására létrehozott webhelyről terjesztették. A támadással valószínűleg a kormányt bíráló szíriai disszidenseket célozták. A Kaspersky Lab kutatói kétféle kihasználó kódot fedeztek fel.


„Az első kód egy meglehetősen primitív, letöltés-és-végrehajtás jellegű viselkedést mutatott, azonban a második megpróbált kapcsolódni a Cisco MeetingPlace (CMP) Express kiegészítőhöz, egy speciális, együttműködést szolgáló Flash plugin-hez, amely lehetővé teszi dokumentumok és képek közös megtekintését az előadó PC-jének munkaasztalán. Ez a plugin teljes mértékben legális, de a kihasználó kód révén kémkedésre használható. Felfedeztük továbbá, hogy a második kód csak akkor működik, ha a Flash Player és a CMP kiegészítő egy adott verziója van telepítve a megtámadott PC-re. Ez azt jelenti, hogy a támadók valószínűleg csupán az érintettek szűk körét célozták,” mondta Vyacheslav Zakorzhevsky, a Kaspersky Lab sérülékenység-kutató csoportjának vezetője.


Az első kihasználó kód felfedezését követően a Kaspersky Lab szakértői azonnal kapcsolatba léptek az Adobe képviselőivel, és tájékoztatták őket az új sérülékenységről. Miután megvizsgálta a Kaspersky Lab által rendelkezésre bocsátott információkat, az Adobe elismerte, hogy a sérülékenység nulladik napi, és elkészítette a javítást, amely immár elérhető az Adobe webhelyén. A sérülékenység CVE száma CVE-2014-0515.


„Bár csupán korlátozott számú kísérlet történt ennek a sérülékenységnek a kihasználására, erősen ajánljuk a felhasználóknak, hogy frissítsék az Adobe Flash Player-t. Elképzelhető ugyanis, hogy mihelyt ismertté válik ez a sérülékenység, a kiberbűnözők megpróbálják reprodukálni a kihasználó kódokat vagy valamilyen módon megszerezni a létező változatokat, és más támadásokhoz felhasználni őket. Sőt, annak ellenére, hogy a javítás elérhető, profitot remélhetnek ettől a sérülékenységtől, mivel az olyan népszerű szoftverek esetében, mint a Flash Player, a szoftver frissítése világszerte hosszabb időt vesz igénybe. Sajnos ez a sérülékenység egy ideig még veszélyt jelent majd,” tette hozzá Vyacheslav Zakorzhevsky.


További információkat az Adobe Flash nemrégiben felfedezett nulladik napi sérülékenységéről itt találnak. Idén immár ez a második alkalom, amikor a Kaspersky Lab kutatói nulladik napi sérülékenységet fedeznek fel. Februárban azonosították a CVE-2014-0497 jelű biztonsági rést, az Adobe Flash Player egy másik nulladik napi sérülékenységét, amely lehetővé teszi a támadóknak, hogy észrevétlenül megfertőzzék az áldozatok PC-jét.


Heurisztikus észlelő alrendszer

 

A heurisztikus észlelő alrendszer része annak az antivírus motornak, amely megtalálható az otthoni és vállalati felhasználóknak készült Kaspersky Lab termékekben, többek között a Kaspersky Anti-Virus-ban, a Kaspersky Internet Security-ben és a Kaspersky Endpoint Security for Business-ben. A hagyományos antivirus modulokhoz hasonlóan ez a rendszer is vírusaláírás adatbázist használ a rosszindulatú szoftverek felkutatására. Azonban míg az antivirus technológia általában minden egyes rosszindulatú kód észleléséhez igényel egy külön aláírást, függetlenül attól, hogy azok milyen közeli kapcsolatban vannak egymással, addig a heurisztikus észlelés nem csupán egyedi kódokat képes azonosítani, hanem rosszindulatú programok egész csoportját, amelyekre ugyanazok a tulajdonságok jellemzőek. Az Adobe Flash nulladik napi sérülékenységére jellemző viselkedést tartalmazó heurisztikus aláírás januárban került be a Kaspersky Lab adatbázisába.


Ráadásul a Kaspersky Lab szakértői által elvégzett speciális teszt során kiderült, hogy a CVE-2014-0515-öt kihasználó kódokat pontosan azonosítja a Kaspersky Lab Automatic Exploit Prevention technológiája is, amely egy további hatékony eszköz az ismeretlen fenyegetések észlelésére.


2013 novemberében ugyanez a technológia sikeresen blokkolta a Microsoft Office-ban lévő nulladik napi sérülékenységet. 2012 végén ugyancsak proaktívan blokkolt több rosszindulatú modult, amelyek – mint később kiderült – a Red Octoberhez, a Kaspersky Lab kutatói által 2013 januárjában felfedezett nagyszabású kiberkémkedési kampányhoz tartoztak.
 

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Az ázsiai autóipar lehagyta digitalizációban Európát

2024. december 21. 10:22

Új platform köti össze a vállalkozókat és partnereiket

2024. december 16. 13:25

CES 2025 előzetes: Elon Musk Amerikája, avagy a világ Musk-ja

2024. december 9. 16:46

Újabb részvételi rekordot döntött az e-Hód

2024. december 9. 11:32