Aggiornamento di sicurezza Adobe risolve 0-day in Flash Player

06/12/2018

Adobe Flash Player Linux macOS Security Update windows

Adobe ha rilasciato un aggiornamento di sicurezza “out-of-band” per risolvere una vulnerabilità critica in Adobe Flash Player e una importante in Adobe Flash Player installer. La prima vulnerabilità riguarda uno zero-day (CVE-2018-15982) già sfruttato “in the wild”, che consente di eseguire codice arbitrario e privilege escalation sul sistema attaccato.

Prodotti impattati

I prodotti impattati in questo aggiornamenti sono i seguenti:

  • Adobe Flash Player Desktop Runtime v. 31.0.0.153 e versioni precedenti, sui sistemi Windows, macOS e Linux
  • Adobe Flash Player per Google Chrome v. 31.0.0.153 e versioni precedenti, sui sistemi Windows, macOS, Linux e ChromeOS
  • Adobe Flash Player per Microsoft Edge, Internet Explorer 11 v. 31.0.0.153 e versioni precedenti, sui sistemi Windows 10 e 8.1
  • Adobe Flash Player Installer v. 31.0.0.108 and earlier, sui sistemi Windows.

Dettagli sulla vulnerabilità 0-Day (CVE-2018-15982)

Il problema di sicurezza associato al CVE-2018-15982 è presente in Flash Player 31.0.0.153 e versioni precedenti installate sui sistemi Windows, macOS e Linux. La vulnerabilità, di cui è già presente il relativo Proof of Concept, è stata scoperta lo scorso 29 novembre dai ricercatori di Gigamon Applied Threat Research (ATR) e Qihoo 360 Core Security, in seguito all’analisi di un documento Microsoft Office, contenente al suo interno codice Flash malevolo, sottomesso sulla piattaforma VirusTotal da un utente con indirizzo IP ucraino.

In base alle analisi dei ricercatori di sicurezza di Gigamo, il documento sottomesso su VirusTotal riguardava una fantomatica domanda di assunzione per una clinica sanitaria statale russa. Il file,  “22.docx“, scritto in lingua russa, era costituito da 7 pagine contenenti il nome dell’autore (“tvkisdsy”) e una serie di domande relative ad una fake application.

La tecnica d’attacco risulta relativamente semplice: nell’header del documento è stato incorporato un controllo di tipo Flash Active X che permette l’esecuzione dell’exploit. Quest’ultimo sfrutta la vulnerabilità di Flash Player nel contesto di Microsoft Office. Nello specifico caso analizzato, l’exploit è stato in grado di eseguire, sia sistemi operativi a 32 che a 64 bit, il seguente comando shell:

C:\WINDOWS\system32\cmd.exe /c set path=%ProgramFiles(x86)%\WinRAR;C:\Program Files\WinRAR; && cd /d %~dp0 & rar.exe e -o+ -r -inul*.rarscan042.jpg & rar.exe e -o+ -r -inulscan042.jpg backup.exe & backup.exe

Il comando estrae “scan042.jpg” dall’archivio .rar consegnato via email, successivamente all’apertura del documento viene decompresso “backup.exe” da “scan042.jpg”. Infine esegue backup.exe, ovvero il payload finale. Come mostrato nella gif a seguire, l’attacco avviene senza necessità di alcuna interazione dell’utente: è sufficiente la semplice apertura del documento dall’archivio compresso per avviare l’esecuzione dell’exploit e del payload.

Durante l’esecuzione, il payload raccoglie informazioni sul sistema, stabilisce la persistenza e comunica con un server remoto tramite chiamate HTTP POST. Nel dettaglio sono state osservate le seguenti attività:

  • raccoglie informazioni sul sistema attaccato;
  • esegue la persistenza come attività pianificata:
    • il payload “backup.exe” viene iniettato nel file  %LOCALAPPDATA%\NVIDIAControlPanel\NVIDIAControlPanel.exe
    • viene settato l’autoesecuzione al login dell’utente
  • invia un POST HTTP con contenuto codificato in base64 e contenente i seguenti indicatori:
    • C&C:  188.241.58 [.] 68
    • User-Agent String: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
  • rimane in fase di sleep per 5 minuti tra le network callbacks, come mostrato nella figura seguente:

Il file “backup.exe” risulta firmato con un certificato associato a “IKB SERVICE UK LTD“. La presenza di un certificato valido, permette di aumentare la reputazione del file e quindi di eludere i controlli degli antivirus e dei sistemi di rilevazione automatica.

Soluzioni

Nella giornata di ieri, 5 dicembre 2018, Adobe ha rilasciato le patch che risolvono le due vulnerabilità su tutti i prodotti impattati. Adobe raccomanda gli utenti di aggiornare Adobe Flash Player Desktop Runtime per Windows, macOS e Linux alla versione 32.0.0.101 attraverso la funzionalità di update automatico del prodotto o visitando il Download Center di Adobe Flash Player.

Con l’aggiornamento all’ultima versione di Google Chrome (per Windows, macOs, Linux e ChromeOS) e di Microsoft Edge e Internet Explorer 11 (per Windows 10 e 8.1) sarà automaticamente installato anche Adobe Flash Player 32.0.0.101.

Per maggiori dettagli sulle vulnerabilità, sui prodotti affetti, sulle possibili contromisure e sugli aggiornamenti disponibili, si raccomanda agli utenti e agli amministratori di consultare il bollettino di sicurezza APSB18-42  di Adobe.