سوءاستفاده از آسيب‌پذيری جديد فلش‌پلير

شماره: IRCNE2015012407
تاريخ: 06/11/93

يك محقق بدافزارها گزارش داده است كه مهاجمان در حال سوء استفاده از وب‌سايت‌ها براي استفاده از يك آسيب‌پذيري جديد و اصلاح نشده در فلش پلير هستند.
به گفته اين محقق كه نام آنلاين وي كافين است، اين آسيب‌پذيري در حملات drive-by-download كه با استفاده از يك كيت سوء استفاده به نام Angler انجام مي‌شوند مشاهده شده است.
كيت‌هاي سوء استفاده، برنامه‌هاي خرابكار وب هستند كه شامل كدهاي سوء استفاده كننده از آسيب‌پذيري‌هاي مرورگرها و پلاگين‌هاي مرورگرها مانند جاوا، فلش‌پلير، ادوب ريدر و سيورلايت هستند. مهاجمان با تزريق كدهاي مخرب به وب‌سايت‌هايي كه مورد سوء استفاده قرار مي‌دهند و همچنين با استفاده از تبليغات مخرب، بي سر و صدا مرورگرهاي كاربران را به نصب كيت سوء استفاده رهنمون مي‌شوند.
اين كيت‌ها بسته به مرورگر و پلاگين‌هاي آن، تصميم مي‌گيرند كه كدام كد را از مجوعه كدهاي خود بارگذاري نمايند. درصورت موفقيت‌آميز بودن اين عمليات، بدافزار مورد نظر نصب مي‌گردد. اين كار تحت عنوان حمله drive-by-download شناخته شده و براي كاربران قابل مشاهده نيست.
كيت‌هاي سوء استفاده معمولاً آسيب‌پذيري‌هاي شناخته شده را هدف قرار مي‌دهند. به همين دليل به‌روز نگاه داشتن پلاگين‌هاي مرورگر مانند فلش‌پلير از اهمين ويژه‌اي برخوردار است. اما درصورتي‌كه مهاجمان كدي براي سوء استفاده از يك آسيب‌پذيري جديد و اصلاح نشده (zero-day) داشته باشند، اين كار كمكي به كاربر نمي‌كند.
آسيب‌پذيري‌هاي zero-day براي هكرها ارزشمند هستند، به همين دليل اين آسيب‌پذيري‌ها بيشتر در حملات هدفمند مورد استفاده قرار مي‌گيرند كه هدف آن معمولاً جاسوسي سايبري است. مشاهده اين آسيب‌پذيري‌ها در حملاتي بدون هدف خاص مانند آنچه كه توسط Angler انجام شده است غيرمعمول است.
به گفته كافين، آسيب‌پذيري مورد استفاده در Angler بر روي آخرين نسخه فلش‌پلير و در سيستم‌هاي ويندوز 7 با IE8، ويندوز 8 با IE10، ويندوز 8 با IE10 و ويندوز XP با IE 6 تا 9 با موفقيت كار مي‌كند. وي گفت كه غيرفعال كردن فلش‌پلير براي چند روز مي‌تواند ايده خوبي باشد.
سخنگوي ادوب اعلام كرد كه ادوب از اين گزارش آگاه است و در حال تحقيق در مورد اين ادعا است. اما كافين ادعا كرده است كه اين مسأله را به اطلاع ادوب رسانده و اين شركت آن را تأييد كرده است.