Zero-day kwetsbaarheid in Adobe Flash

Originele blogpost door Weimin Wu (Threat Analyst)

Zero-day kwetsbaarheid in Adobe FlashOp 20 januari hebben we kwaadaardige SWF-bestanden gevonden, die worden gebruikt door de Angler Exploit Kit, via feedback van ons Smart Protection Network. Deze voorbeelden hebben we gekregen van gebruikers uit de Verenigde Staten. Wij zijn van mening dat een van de voorbeelden dezelfde zero-day Flash-exploit is als die door beveiligingsonderzoeker Kafeine gemeld is, maar van een andere infectiehaard dan degene die gerapporteerd is door Kafeine.

De Angler exploit Kit wordt verondersteld verantwoordelijk te zijn voor het distribueren van deze exploit. Gisteren zagen we een significatie stijging in de activiteit van de Angler Exploit Kit, zoals ook te zien is in onderstaande grafiek.

Trend Micro 1 - aantal gebruikers geïnfecteerd door Angler

Figure 1. Number of hits to the Angler exploit kit server landing page related to the zero-day

 

 

 

 

 

 

 

 

 

De grafiek laat zien dat er gisteren een duidelijke toename was van Angler-activiteiten, wat ongeveer hetzelfde is als toen deze kwetsbaarheid voor het eerst werd onthuld. De meeste van deze gebruikers komen uit de Verenigde Staten, zoals duidelijk wordt in onderstaande grafiek:

Trend Micro 2 - geografische verdeling van gebruikers geïnfecteerd door Angler

Figure 2. Geographic distribution of users affected by Angler

Infecteren
Een analyse van de reacties van onze producten suggereert dat malvertisements worden gebruikt om deze exploits aan eindgebruikers te leveren. Hoewel we onze analyse van de exploit nog niet volledig hebben afgerond, is duidelijk te zien dat een recente versie van de Adobe Flash Player is getroffen:

Trend Micro 3 - Infection chain of Flash Exploit_1

 

 

Trend Micro 4 - Infection chain of Flash exploit_2

Figures 3 and 4. Infection chain of Flash exploit

 

 

 

 

 

 

 

 

 

Exploit-methode
Totdat Adobe een patch uitbrengt, zullen we geen details bespreken. Echter, we houden er rekening mee dat de methode vergelijkbaar is met eerdere Flash Zero-Day’s zoals CVE-2014-0515.

Houd er ook rekening mee dat de voorbeelden die wij hebben gezien, erg gemaskeerd zijn. Het gebruikt ten eerste de loadByte() functie om een embedded Flash-bestand te laden en uit te voeren. De functienaam loadByte wordt gemaskeerd door string operations te gebruiken en de parameter is ook verhuld door byte array obfuscation.

Het embedded bestand zelf gebruikt verschillende verhullingstechnieken (obfuscation).

De shell code
De shell code in het voorbeeld geeft eerst een opsomming van het API-functieadres. Daarna creëert het een nieuwe bedreiging die de payload downloadt van de exploit kit server.

De payload is gecodeerd, die gedecodeerd zal worden in het geheugen door de shell code. Van de verkregen API kunnen we zien dat er geen CreateProcess en WriteFile is. Het zal dus niet het uiteindelijk PE-bestand achterlaten op de disk, zoals andere exploit kits doen. Dit is typisch gedrag van de Angler Exploit Kit.

Trend Micro 5 - Screenshot of function addresses saved in memory by the shell code

Figure 5. Screenshot of function addresses saved in memory by the shellchode

 

 

 

 

 

 

 

 

 

Aanbevelingen en best practices
In afwezigheid van een beschikbare Adobe-patch, kunnen gebruikers overwegen om de Flash Player uit te schakelen totdat er een ‘nieuwe’ versie beschikbaar is. We zien daarnaast ook dat Chrome’s versie van de Flash Player plugin is ‘sandboxed’, om potentiële effecten voor de eindgebruiker te minimaliseren. Firefox is ook immuun voor deze bedreiging.

Overigens beschikken onze endpoint-producten Browser Exploit-bescherming, die bescherming bieden tegen exploits gericht op browsers of gerelateerde plugins.

Daarnaast kan ook de bestaande Sandbox en Script Analyser, die onderdeel is van Deep Discovery, worden gebruikt om deze dreiging op te sporen, zonder enige engine of pattern update.

Zodra er meer nieuws bekend is, zullen we je hierover informeren.

Lees hier de originele Engelstalige blogpost door Weimin Wu (Threat Analyst).

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.