Forsiden    Om os    Den Digitale Vægter    Rådgivning    Artikler    Referencer    Omtale    Nyheder    Kunde login   
   << Nyhedsoversigt
   
 
  Vidensdeling
  - Dialog skaber resultater
 
  Nyheder

Sårbarhed i Adobe Flash Player

Flere Kinesiske websider - og mindst en bande af it-kriminelle - misbruger i øjeblikket en sårbarhed i Adobe Flash Player. Sårbarheden er allerede optaget i en Kinesisk klon af exploitværktøjskassen MPACK. Vi må derfor antage at vi kommer til at se en stigning i angreb over de kommende uger.

Angrebet udføres via drive-by, hvor brugeren lokkes til at besøge en særligt udformet webside eller tvinges dertil via en IFRAME eller script henvisning på en kompromitteret webside (SQL(RFI injektion). På selve drive-by siden foretages et ActiveX kald mod "ShockwaveFlash.ShockwaveFlash.9", som dernæst bestemmer hvilken version af Adobe Flash som er installeret på systemet. Oversat til almindeligt dansk betyder det, at der leveres to forskellige payloads afhængig af hvilken version af Adobe Flash der er installeret.

Sårbarheden omfatter Adobe Flash Player 9.0.124.0 (flash1.swf) og Adobe Flash Player 9.0.115.0 (flash.swf). Flash1.swf er angiveligt ikke stabil.

Selve SWF-filen indeholder en payload som foretager et kald mod en CSS fil (Cascading Style Sheets) fil, som i virkeligheden er binær. Det sker på følgende måde (mellemrum og sanitering udført af CSIS):

urlmon.dll
C:\6123t.exe
http://www.lo vedai.cn/[fjernet af CSIS].css

Den skadelige kode foretager derudover en række andre - også eksterne kald, mod følgende servere: (mellemrum indlagt af CSIS):

http://www.0nov el.com\/ms06014.js
http://www.0no vel.com\/real.js
http://coun t18.wuqing171 73.cn/rl.htm
http://count1 8.wuqing 17 173.cn/lz.htm
http://count 18.wuqing171 73.cn/bf.htm
http://count 18.wuqing171 73.cn/xl.htm

Fra disse domæner hentes exploits rettet mod bl.a. RealPlayer 11 og sårbarheder i bl.a. Microsoft Windows.

CSIS anbefaler, at man blokerer for adgang til nedenstående domæner i sin firewall/proxy (mellemrum indlagt af CSIS).

wuqi ng17173.cn
woai 117.cn
123 690.net
qiq igm.com
qiu xuegm.com
www.love dai.cn
dot a11.cn

Domænerne er allerede blacklistet i CSIS Sec-DNS.

Dette angreb finder vi, isoleret set, ikke kritisk i sig selv, men selve sårbarheden i Adobe Flash Player, som udnyttes aktivt ser desværre ud til at være banal at misbruge. Adobe Flash er et uhyggeligt populært plugin til flere browsere og en 0-dags sårbarhed som denne giver et stort potentiale til at skyde med spredhagl efter sårbare systemer - bl.a. via SQL-injektion og drive-by angreb.

Den skadelige kode, som forsøges installeret via denne 0-dags sårbarhed er - ingen overraskelse en: "Trojan-OnlineGames variant", som også stjæler World of Warcraft brugernavne og passwords - blandt meget andet ubehageligt.

Opgrader Adobe Flash Player
CSIS har sammen med flere samarbejdspartnere arbejdet det meste af natten for at danne os et overblik over det seneste exploit som er rettet mod Adobe Flash Player.

Vores analyse konkluderer at der er tale om aktivt misbrug af CVE-2007-0071, som dokumenteret her:
http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf.

Faktum er, at vi ikke har været i stand til at reproducere dette exploit på en komplet opdateret Adobe Flash Player installation, hvilket indikerer at version 9.0.124.0, som er den seneste version af Adobe Flash Player, ikke er sårbar overfor dette exploit. Men vi ser imidlertid forskellige rapporter fra flere sider af it-sikkerhedsbranchen som bl.a. fortæller om andre resultater. Symantec indikerer således at version 9.0.124.0 kan være sårbar og at de har set exploits fungere mod den seneste version af Flash Player. Som sagt har vi ikke været i stand til at reproducere dette, men vi kan ikke udelukke at der kan være forskel i de forskellige sprogversioner, hvor f.eks. en Kinesisk installation kan være sårbar mens en Amerikansk eller Dansk ikke er det.

Exploitet er imidlertid yderst effektivt overfor alle tidligere versioner af Adobe Flash Player, hvorfor vi anbefaler en opgradering af Adobe Flash Player snarest muligt:
http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

Den skadelige kode (binær) som forsøges installeret opnår følgende antivirus detektion:

Antivirus  Version  Last Update  Result
AhnLab-V3  2008.5.22.1  2008.05.26  -
AntiVir  7.8.0.19  2008.05.27  TR/Spy.Gen
Authentium  5.1.0.4  2008.05.26  W32/OnlineGames.B.gen!Eldorado
Avast  4.8.1195.0  2008.05.27  Win32:OnLineGames-DEX
AVG  7.5.0.516  2008.05.26  Downloader.Agent
BitDefender  7.2  2008.05.27  Trojan.PWS.OnLineGames.SSL
CAT-QuickHeal  9.50  2008.05.26  -
ClamAV  0.92.1  2008.05.27  -
DrWeb  4.44.0.09170  2008.05.27  Trojan.MulDrop.origin
eSafe  7.0.15.0  2008.05.26  -
eTrust-Vet  31.4.5823  2008.05.26  -
Ewido  4.0  2008.05.26  -
F-Prot  4.4.4.56  2008.05.23  W32/OnlineGames.B.gen!Eldorado
F-Secure  6.70.13260.0  2008.05.27  Suspicious:W32/Malware!Gemini
Fortinet  3.14.0.0  2008.05.27  -
GData  2.0.7306.1023  2008.05.23  -
Ikarus  T3.1.1.26.0  2008.05.27  -
Kaspersky  7.0.0.125  2008.05.27  -
McAfee  5303  2008.05.26  -
Microsoft  1.3520  2008.05.27  PWS:Win32/OnLineGames.CSI
NOD32v2  3133  2008.05.26  -
Norman  5.80.02  2008.05.26  -
Panda  9.0.0.4  2008.05.27  Suspicious file
Prevx1  V2  2008.05.27  -
Rising  20.46.11.00  2008.05.27  -
Sophos  4.29.0  2008.05.27  Mal/Gampass-A
Sunbelt  3.0.1123.1  2008.05.17  -
Symantec  10  2008.05.27  -
TheHacker  6.2.92.320  2008.05.26  -
VBA32  3.12.6.6  2008.05.27  suspected of Backdoor.XiaoBird.3
VirusBuster  4.3.26:9  2008.05.26  -
Webwasher-Gateway  6.6.2  2008.05.27  Trojan.Spy.Gen
 
  



CSIS Alert Service
Tilmeld dig vores populære alert
service. Vi giver dig 1
måneds prøve på relevante og
rettidige nyheder om it-sikkerhed.
 
 
     
 

© 2008 CSIS Security Group