چند شرکت امنیتی از اجرای حملهای سایبری در منطقه خاورمیانه خبر دادهاند که در آن از یک آسیبپذیری روز صفر در نرمافزار Flash Player بهرهجویی میشود.
پیچیدگی و دقت بالای این حمله سبب گردیده که برخی محققان، مهاجمان آن را یک دولت و یا گروهی وابسته به یک دولت با منابع قابل توجه بدانند.
به گزارش شرکت مهندسی شبکه گستر، آسیبپذیری مورد استفاده این مهاجمان، با شناسه CVE-2018-5002، امکان اجرای کد بهصورت از راه دور را در نسخه 29.0.0.171 و نسخههای قبل از آن در نرمافزار Flash Player فراهم میکند.
روش رخنه مهاجمان به اهداف خود، فایل Excel دستکاری شده عنوان گردیده که با باز شدن آن، یک فایل SWF از سرور فرماندهی دریافت و بر روی دستگاه اجرا میشود. فایل دریافت شده در ادامه اقدام به بهرهجویی از آسیبپذیری CVE-2018-5002 کرده و دستگاه را به بدافزار آلوده میکند.
نکته قابل توجه در خصوص این حمله اینکه فایل Excel عملاً خود فاقد هر گونه کد غیرمجاز بوده و کد مخرب در مرحله دوم حمله دریافت و اجرا میشود. موضوعی که شناسایی آن را توسط برخی محصولات ضدویروس و دیواره آتش دشوار میکند.
سرور فرماندهی این حمله، سایتی در ظاهر یک سامانه کاریابی در منطقه خاورمیانه است که تاریخ ثبت آن به فوریه سال میلادی جاری باز میگردد.
پنجشنبه، 17 خرداد ماه، شرکت ادوبی، آسیبپذیری CVE-2018-5002 را با عرضه نسخه 30.0.0.113 بهطور فوقالعاده ترمیم کرد که جزییات کامل آن در لینک زیر قابل دسترس است:
https://helpx.adobe.com/security/products/flash-player/apsb18-19.html
گفته میشود نصب نسخه جدید نه تنها سبب اصلاح ضعف مذکور که موجب نمایش پنجرهای برای کسب مجوز از کاربر در صورت اجرای فایل SWF بهصورت از راه دور در مجموعه نرمافزاری Office میگردد.
به تمامی کاربران و راهبران شبکه توصیه میشود که در صورت نصب بودن Flash Player بر روی دستگاه یا شبکه تحت مدیریت خود از بهروز بودن نسخه این نرمافزار اطمینان حاصل کنند.
البته خوانندگان اطلاع دارند که امکان بهروزرسانی خودکار نرمافزارهای ادوبی با نشانیهای IP ایرانی وجود نداشته و کاربران و راهبران شبکه باید با استفاده از روشها و ابزارهای یگر اقدام به این کار کنند.
توضیح اینکه فایل Excel بررسی شده در این خبر با نامهای زیر شناسایی میشود:
Bitdefender:
– Trojan.GenericKD.30934445
McAfee:
– RDN/Generic Downloader.x
Sophos:
– Exp/20185002-A