Gli hacker corrono per utilizzare l’exploit di Flash prima che i sistemi vulnerabili vengano patchati
Gli hacker sostenuti dallo stato stanno cercando di utilizzare l’exploit prima che le organizzazioni lo risolvano.
Immagine: iStockGli hacker si stanno affrettando a sfruttare una vulnerabilità Flash zero-day per il software di sorveglianza degli impianti prima che le organizzazioni abbiano il tempo di aggiornare i propri sistemi per correggere la debolezza.
Scoperta lunedì dai ricercatori di Kaspersky Lab, la vulnerabilità CVE-2017-11292 di Adobe Flash consente agli aggressori di implementare una vulnerabilità che può portare all’esecuzione di codice su sistemi Windows, Mac, Linux e Chrome OS.
L’exploit consente la consegna di documenti Word dannosi in bundle con malware, ad esempio per consentire agli aggressori di curiosare nelle comunicazioni, intercettare messaggi video e chiamate e rubare file.
Adobe Flash Player Desktop Runtime, Adobe Flash Player per Google Chrome, Adobe Flash Player per Microsoft Edge e Internet Explorer 11 sono tutti interessati dalla vulnerabilità e alle organizzazioni viene urgentemente chiesto di installare l’aggiornamento critico.
Di conseguenza, gli aggressori si stanno muovendo rapidamente per sfruttarlo finché possono e i ricercatori di Proofpoint hanno attribuito una campagna progettata per diffondere malware trojan utilizzando la vulnerabilità ad APT28 – noto anche come Fancy Bear – un gruppo di hacker russo con collegamenti al Cremlino.
La campagna per sfruttare la vulnerabilità di Flash è stata inviata agli uffici governativi in Europa e negli Stati Uniti specializzati in relazioni estere – i ricercatori li paragonano a “entità equivalenti al Dipartimento di Stato” – così come alle imprese private del settore aerospaziale.
Vedi anche: Cyberwar: una guida allo spaventoso futuro dei conflitti online
La natura diffusa della campagna, rispetto ad altri attacchi APT28, è probabilmente un tentativo da parte degli aggressori di sfruttare il più possibile la vulnerabilità di Flash prima che le organizzazioni si mettano a ripararla.
“Non sorprende che vogliano trarne vantaggio il più rapidamente possibile. Molto probabilmente, stanno attaccando il maggior numero possibile di obiettivi interessanti nel breve lasso di tempo che hanno”, ha detto a ZDNet Kevin Epstein, VP del Threat Operations Center di Proofpoint.
“Sembra che l’attacco sia stato meno mirato di quanto ci si aspetterebbe altrimenti poiché gli aggressori bruciano l’exploit”
In questo caso, il payload dannoso viene consegnato in un documento Word intitolato “World War 3.docx” che contiene il testo tratto da un articolo di un quotidiano britannico sulla Corea del Nord, pubblicato per la prima volta martedì.
Il documento esca Fancy Bear utilizzato nella campagna.
Immagine: punto di provaAll’interno del documento è presente “DealersChoice”, un framework di attacco precedentemente attribuito agli hacker russi, che ora è stato associato alla vulnerabilità di Flash, in un modo simile a quello che il gruppo ha fatto con le campagne precedenti. Una volta installato sul sistema, il malware può essere utilizzato come un efficace strumento di spionaggio.
I ricercatori hanno scoperto che lo sfruttamento era efficace sui sistemi che utilizzavano Windows 7 con Flash 27.0.0.159 e Microsoft Office 2013 e Windows 10 build 1607 con Flash 27.0.0.130 e Microsoft Office 2013. A differenza della campagna precedentemente scoperta che sfruttava la vulnerabilità, Mac OS non lo fa sembrano essere presi di mira in questi attacchi.
È quindi fondamentale che le patch vengano applicate per proteggere da questi attacchi.
“Sembra che APT28 si stia muovendo rapidamente per sfruttare questa vulnerabilità recentemente documentata prima che la patch disponibile venga ampiamente distribuita”, hanno affermato i ricercatori.
“Poiché Flash è ancora presente su un’alta percentuale di sistemi e questa vulnerabilità colpisce tutti i principali sistemi operativi, è fondamentale che le organizzazioni e gli utenti finali applichino immediatamente la patch Adobe”, ha anche avvertito Proofpoint come è probabile che altri attori delle minacce seguano nel tentativo per sfruttare questa vulnerabilità relativamente recente mentre ancora possono.LEGGI DI PIÙ SUL CYBER CRIME
- Il malware furtivo prende di mira le ambasciate in una campagna di spionaggio
- Visualizzazione dell’attacco informatico russo [TechRepublic]
- Fancy Bear colpisce ancora: hacker russi hanno avuto accesso ai dati medici degli atleti della IAAF durante un attacco informatico
- Come i cybersleuth hanno deciso che la Russia era dietro l’hacking elettorale negli Stati Uniti [CNET]
- La tua mancata applicazione di aggiornamenti critici della sicurezza informatica sta mettendo a rischio la tua azienda dal prossimo WannaCry o Petya
