Nuova falla 0-day in Flash Player usata per installare strumenti di controllo da remoto

Nuova falla 0-day in Flash Player usata per installare strumenti di controllo da remoto

Una nuova vulnerabilità di Flash permette di installare strumenti di amministrazione remota che consentono di prendere il controllo del sistema bersaglio. Adobe correrà ai ripari, ma il consiglio è quello di non usare più Flash Player

di pubblicata il , alle 15:21 nel canale Sicurezza
Adobe
 

I ricercatori di sicurezza del Talos Group di Cisco Systems hanno individuato una campagna di attacchi portata avanti da un gruppo di hacker già noto ma che ha mostrato una maggior sofisticazione nel suo operato con lo sfruttamento di una falla 0-day individuata in Adobe Flash Player.

La vulnerabilità critica, catalogata come CVE-2018-4877 risiede nell'ultima versione di Flash Player, ma Adobe ha già dichiarato che anche le versioni precedenti all'attuale 28.0.0.137 potrebbero essere afflitte dal medesimo problema. La vulnerabilità è stata scoperta la scorsa settimana quando il CERT della Corea del Sud ha emesso un avviso tramite il quale notificava la presenza in rete di un codice di attacco capace di sfruttare la falla 0-day e che consentre di prendere il pieno controllo della macchina infetta installando ROKRAT, uno strumento di amministrazione remota conosciuto agli esperti di sicurezza sin da gennaio 2017.

L'exploit della vulnerabilità è stato distribuito mediante un documento Excel che contiene un oggetto Flash compromesso che una volta attivato procede all'installazione di ROKRAT. Talos osserva che il gruppo alle spalle di ROKRAT - chiamato Group 123 - ha già operato in passato sfruttando tecniche di ingengeria sociale o vulnerabilità già note e non corrette, ma è la prima volta che opera usando una vulnerabilità 0-day.

"Group 123 entra a far parte delle elite criminali con l'ultimo payload ROKRAT. Il gruppo ha sfruttato una vulnerabilità 0-day di Adobe Flash che era al di fuori delle loro precedenti abilità. Ciò rappresenta un cambio operativo importante e una maggior maturità di Group 123 che ci porta a credere che abbiano un team più abile, altamente motivato e sofisticato" scrivono i ricercatori di Talos.

L'attività del gruppo sembra essere concentrata quasi interamente su bersagli situati in Corea del Sud e, secondo un post di Talos pubblicato già lo scorso mese, i membri di Group 123 parlano perfettamente coreano e conoscono bene la regione della penisola coreana. Il gruppo sembrerebbe avere legami con la Corea del Nord e un ricercatore di sicurezza sudcoreano ha dichiarato nei giorni scorsi che la vulnerabilità Flash è "made in North Corea".

Nonostante il numero degli attacchi capaci di sfruttare falle 0-day di Flash Player si sia ridotto drasticamente negli ultimi due anni, il rischi posti dal media player di Adobe sono comunque esageratamente elevati rispetto all'utilità che può avere per la maggior parte degli utenti. Adobe dovrebbe rilasciare una patch correttiva questa settimana.

Il consiglio, comunque, è quello di disinstallare e non utilizzare Flash Player e, nel caso si dovesse per forza consultare siti basati su Flash, affidarsi a Google Chrome che offre una versione particolare e integrata di Flash Player protetta da un ambiente sandbox.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
niko71706 Febbraio 2018, 12:49 #1
Io uso Chromium Browser, quindi senza Flash, e mi trovo abbastanza bene... Il problema è che alcuni siti non funzionano senza flash... A me ovviamente quei siti non interessano (come vk.com), ma chi vuole usarli, purtroppo è costretto a usare flash.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^