Kaspersky Lab a descoperit si a blocat o vulnerabilitate de tip zero-day din Adobe Flash Player
Subsistemul de detectie euristica al Kaspersky Lab a blocat cu succes atacuri lansate prin intermediul unei vulnerabilitati de tip zero-day din software-ul Adobe Flash. Cercetatorii Kaspersky Lab au descoperit aceasta lacuna, care a fost folosita de exploit-uri distribuite prin intermediul unui website guvernamental legitim, creat pentru a colecta plangeri publice cu privire la incalcari ale legii intr-o tara din Orientul Mijlociu.
La mijlocul lunii aprilie, expertii Kaspersky Lab care analizeaza informatiile colectate de Kaspersky Security Network, au descoperit un exploit necunoscut anterior. La o examinare mai atenta, expertii au descoperit ca exploit-ul folosea o vulnerabilitate nedetectata anterior din Adobe Flash Player. Vulnerabilitatea se afla in Pixel Bender - o componenta veche, utilizata pentru procesarea fotografiilor si a fisierelor video.
Analiza ulterioara a constatat ca exploit-urile au fost distribuite prin intermediul unui website creat in 2011 de catre ministerul sirian de justitie pentru a permite oamenilor sa depuna plangeri cu privire la incalcari ale legii. Expertii Kaspersky Lab considera ca atacul a fost lansat pentru a viza disidentii sirieni care se plangeau de guvern.
Astfel, au fost descoperite, in total, doua tipuri de exploit-uri, cu diferente in shellcode (o mica parte de cod, folosita ca payload pentru exploatarea unei vulnerabilitati de software).
„Primul exploit avea un comportament de payload destul de primitiv de descarcare si lansare, insa cel de-al doilea incerca sa interactioneze cu Add-In-ul Cisco MeetingPlace Express - un plug-in Flash special folosit pentru actiuni simultane, in special pentru afisarea documentelor si a imaginilor de pe PC-ul unui prezentator”, a declarat Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager in cadrul Kaspersky Lab. „Acest plug-in este complet legitim, dar in aceste circumstante speciale ar putea fi folosit ca un instrument de spionaj. Mai mult decat atat, am descoperit ca acest al doilea exploit functioneaza doar in cazul in care anumite versiuni de Flash Player și CMP Add-In sunt instalate pe PC-ul atacat. Acest lucru inseamna ca, probabil, atacatorii vizeaza o lista foarte limitata de victime", a completat Vyacheslav Zakorzhevsky.
Imediat dupa ce au descoperit primul exploit, specialistii Kaspersky Lab au contactat reprezentantii Adobe pentru a-i informa cu privire la noua vulnerabilitate. Dupa examinarea informatiilor furnizate de Kaspersky Lab, Adobe a recunoscut ca vulnerabilitatea are un statut de tip zero-day și a dezvoltat un patch care este acum disponibil pe site-ul Adobe. Numarul CVE al acestei vulnerabilitati este CVE-2014-0515.
„Desi numarul de incercari de a exploata aceasta vulnerabilitate a fost limitat, recomandam insistent utilizatorilor sa actualizeze software-ul Adobe Flash Player. Este posibil ca, odata ce informatiile despre aceasta vulnerabilitate devin cunoscute, infractorii sa incerce sa reproduca aceste noi exploit-uri sau sa obtina variantele existente si sa le utilizeze in alte atacuri. Chiar daca un patch este disponibil, infractorii cibernetici se asteapta sa profite de aceasta vulnerabilitate, deoarece o actualizare la nivel mondial a unui software popular cum este Flash Player va lua ceva timp. Din pacate, aceasta vulnerabilitate va continua sa fie periculoasa pentru o vreme", a avertizat Vyacheslav Zakorzhevsky.
Este a doua oara in acest an cand expertii Kaspersky Lab descopera o vulnerabilitate de tip zero-day. In luna februarie, specialistii companiei au descoperit CVE-2014-0497 - o alta vulnerabilitate zero-day din Adobe Flash Player, care permite atacatorilor sa infecteze pe ascuns PC-urile victimelor.
Subsistemul de detectie euristica
Subsistemul de detectie euristica este o parte a motorului antivirus, fiind prezent in mai multe produse Kaspersky Lab pentru utilizatori individuali si companii, cum ar fi Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business si altele. La fel ca un antivirus traditional, acest sistem foloseste o baza de date de semnaturi pentru a detecta programele malware. Dar, in timp ce tehnologia antivirus necesita, de obicei, o semnatura pentru fiecare piesa individuala a malware-ului, indiferent de cat de strans legate ar fi acestea, detectia euristica poate acoperi o intreaga varietate de programe malware. Ea face acest lucru cu ajutorul euristicii - semnaturi speciale, care detecteaza nu numai malware individual, ci si intreaga colectie de programe malware grupate in functie de o lista de caracteristici speciale. Semnatura euristica responsabila pentru descoperirea comportamentului noului exploit de tip zero-day din Adobe Flash, a fost inclusa in bazele de date Kaspersky Lab inca din luna ianuarie.
Mai mult decat atat, in timpul unui test special realizat de specialistii Kaspersky Lab, acestia au descoperit ca exploit-urile care folosesc CVE-2014-0515 sunt detectate cu precizie de tehnologia Kaspersky Lab Automatic Exploit Prevention - un alt instrument eficient pentru detectarea amenintarilor.
In noiembrie 2013, aceeași tehnologie a blocat cu succes atacurile care foloseau o vulnerabilitate de tip zero-day din programul Microsoft Office. De asemenea, la sfarsitul anului 2012, tehnologia a blocat in mod proactiv mai multe componente malware, care - asa cum a fost descoperit mai tarziu - au apartinut operatiunii Octombrie Rosu, o campanie de spionaj cibernetic la scara larga detectata de cercetatorii de Kaspersky Lab in ianuarie 2013.
