Την περασμένη εβδομάδα, η CERT της Νότιας Κορέας αναγνώρισε ένα exploit στο Adobe Flash 28.0.0.137 (και σε όλες οι προηγούμενες εκδόσεις φυσικά) που θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα σε Windows, macOS, Linux και Chrome OS.
Η Adobe αμέσως μετά ανακοίνωσε σε ένα δελτίο ασφαλείας ότι θα επιδιορθώσει την ευπάθεια στην έκδοση που έχει προγραμματιστεί να κυκλοφορήσει αυτήν την εβδομάδα. …on time, μόνο πως το exploit κυκλοφορεί…
Οι ερευνητές της Cisco του τμήματος Talos δήλωσαν ότι το ωφέλιμο φορτίο που υπήρχε σε ένα Excel ήταν το ROKRAT και παραπέμπει στο Group 123.
“Το Group 123 έχει ενώσει μερικά hacking ελίτ σε αυτό το τελευταίο ωφέλιμο φορτίο του ROKRAT.
Έχουν χρησιμοποιήσει ένα Zero Day του Adobe Flash που ήταν εκτός των προηγούμενων δυνατοτήτων τους – χρησιμοποίησαν exploits σε προηγούμενες καμπάνιες αλλά ποτέ δεν είχαν ένα καθαρά νέο exploit όπως έχουν κάνει τώρα “, αναφέρουν οι ερευνητές του Talos Warren Mercer και Paul Rascagneres.
“Αν και στο Talos δεν έχουμε καμία πληροφορία για θύματα, υποψιαζόμαστε ότι το θύμα ήταν ένας πολύ συγκεκριμένος και υψηλής αξίας στόχος. Η χρήση ενός ολοκαίνουργιου exploit, που δεν υπήρχε, δείχνει ότι ήταν πολύ αποφασισμένοι να πετύχουν την επίθεση.”
Η FireEye από την άλλη δήλωσε ότι το κακόβουλο αρχείο θα πρέπει να προέρχεται από τη Βόρεια Κορέα, και είναι γνωστό ως TEMP.Reaper.
Ενώ η Adobe προτείνει ότι οι διαχειριστές θα μπορούσαν να χρησιμοποιήσουν την Προστατευόμενη προβολή για το Office για να προστατευτούν, ενώ η FireEye τόνισε ότι είναι πολύ πιθανό να δούμε περισσότερες επιθέσεις μέχρι να επιδιορθωθεί η ευπάθεια.
Τον περασμένο Ιούλιο, η Adobe δήλωσε ότι θα σταματήσει να υποστηρίζει το Flash το 2020, με τη Microsoft να ισχυρίζεται ότι θα αφαιρέσει πλήρως την υποστήριξη Flash από τα Windows το ίδιο έτος.
Adobe Flash 0day: η Βόρεια Κορέα πίσω από το exploit που κυκλοφορεί
