Adobe ออกแพตช์เร่งด่วนอุดช่องโหว่ Zero-Day บน Flash Player หลังพบถูกใช้ในรัสเซีย

Qihoo 360 ทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากจีนและ Gigamon ผู้ให้บริการโซลูชันด้านเครือข่ายได้ตรวจพบการโจมตีแบบ APT ที่ใช้ช่องโหว่บน Flash Player เกิดขึ้นกับคลีนิกเสริมความงามแห่งหนึ่งในรัสเซียที่มีลูกจ้างระดับสูงของสหภาพโซเวียตเข้าไปใช้บริการจึงคาดว่าน่าจะเป็นประเด็นทางการเมือง โดยการโจมตีครั้งนี้ถูกเรียกว่า “Operation Poison Needles”

ไอเดียคือหลังจากคนร้ายเลือกเหยื่อแล้วจะส่งแบบสอบถามลูกจ้างที่คนร้ายได้ปลอมขึ้นมาชื่อ ’22.docx’ ผ่านทางอีเมลไปหาเหยื่อซึ่งภายในจะมีไฟล์ rar ที่บรรจุไฟล์สำหรับใช้งานช่องโหว่ Flash อีกที โดย Word เองก็มีการแจ้งเตือนแล้วว่า “ไฟลฺ์ที่ฝังมาในเอกสารนี้อาจไม่ปลอดภัย” แต่หากเหยื่อกดดำเนินงานต่อจะทำให้เกิดการ Execute Code (ตามรูปด้านล่าง) ในไฟล์ชื่อ backup.exe ที่ทำตัวเนียนเป็นแอปพลิเคชันของ Nvidia อีกทั้งยังได้มีการใช้ Certificate ที่ถูกขโมยมาและถูกเรียกคืนไปแล้วด้วย นอกจากนี้ผู้เชี่ยวชาญเผยว่า backup.exe จะมีการทำสำเนาตัวเองไปยัง Path : %LocalAppData%\NVIDIAControlPanel\NVIDIAControlPanel.exe และยังส่งข้อมูลคอมพิวเตอร์พร้อมกับแอปพลิชันที่ติดตั้งบนเครื่องนั้นกลับไปหาคนร้ายได้ด้วย รวมถึงยังทำการดาวน์โหลดและรัน Shell Code บนเครื่องด้วย

หมายเลขอ้างอิงช่องโหว่ครั้งนี้คือ CVE-2018-15982 และเลขอ้างอิงของ Adobe เองคือ APSB18-42 โดยช่องโหว่มีผลกระทบกับ Flash Player เวอร์ชันก่อนหน้าจนถึง 31.0.0.153 ดังนั้นผู้ใช้งานควรเข้าไปอัปเดตได้ทันที นอกจากนี้การแพตช์ครั้งข้างต้นยังได้มีการอุตช่องโหว่ DLL Hijacking ที่แฮ็กเกอร์สามารถโหลด DLL อันตรายตอนเริ่มรัน Flash Player ได้ด้วย สามารถอ่านรายงานฉบับเต็มของ Qihoo และ Gigamon 

ที่มา : https://www.bleepingcomputer.com/news/security/adobe-fixes-zero-day-flash-player-vulnerability-used-in-apt-attack-on-russia/ และ https://www.scmagazine.com/home/security-news/adobe-fixes-zero-day-flash-bug-after-attackers-target-russian-clinic-with-exploit/