Hàn Quốc cảnh báo về lỗ hổng 0-Day trên Flash

[WhiteHat News #ID:2017]

Cập nhật ngày 07/02/2018: Adobe đã phát hành Flash Player 28.0.0.161 để vá lỗ hổng 0-day (CVE-2018-4878) đang được các tin tặc Triều Tiên khai thác. Phiên bản Flash Player mới nhất cũng vá lỗ hổng CVE-2018-4877, cũng là một lỗi use-after-free cho phép thực thi mã từ xa. Theo Adobe, chưa có cuộc tấn công nào khai thác lỗ hổng này.

Theo Security Week​

-------------------------------------------------

Cơ quan An ninh và Internet của Hàn Quốc (KISA) mới đưa ra cảnh báo về một lỗ hổng 0-day trên Flash đang được các tin tặc Triều Tiên khai thác để thực hiện tấn công.

Theo cảnh báo được KISA công bố, lỗ hổng này ảnh hưởng đến phiên bản Flash Player mới nhất là 28.0.0.137 và các phiên bản trở về trước.

Lỗ hổng 0-day có thể khai thác khi tin tặc thực hiện tấn công bằng cách lừa nạn nhân mở một tài liệu, trang web hoặc email chứa một file Flash đặc biệt.

Theo khuyến cáo từ Đội phản ứng nhanh an ninh mạng máy tính CERT của Hàn Quốc, “Một lỗ hổng 0-day được tìm thấy trong Adobe Flash Player. Kẻ tấn công có thể thuyết phục người dùng mở tài liệu Microsoft Office, trang web hoặc một email có chứa file Flash”.

Theo nhà nghiên cứu Simon Choi, lỗ hổng 0-day trên Flash Player đã bị Triều Tiên khai thác kể từ giữa tháng 11/2017.

Các tin tặc đã khai thác lỗ hổng để phát tán malware, hình ảnh được chuyên gia trên chia sẻ trên Twitter cho thấy việc khai thác đã được pháy tán qua các file Microsoft Excel chứa mã độc.

Theo Adobe, đây là lỗ hổng use-after-free (loại lỗ hổng gây lỗi bộ nhớ, hacker có thể tận dụng để thực thi mã tuỳ ý) nghiêm trọng khi cho phép thực thi mã từ xa và đặt tên lỗ hổng là CVE-2018-4878.

Lỗ hổng 0-day này chưa bị khai thác rộng rãi, mới giới hạn trong các cuộc tấn công nhắm tới người dùng Windows. Hãng Adobe sẽ phát hành bản cập nhật an ninh trong tuần tới.

Theo khuyến cáo công bố bởi Adobe, "Một lỗ hổng nghiêm trọng (CVE-2018-4878) tồn tại trong Adobe Flash Player 28.0.0.137 và các phiên bản trước đó. Việc khai thác thành công có thể cho phép kẻ tấn công kiểm soát được hệ thống bị ảnh hưởng”.

"Adobe nhận được một báo cáo về việc đã tồn tại khai thác CVE-2018-4878 và đang được sử dụng trong các cuộc tấn công giới hạn, mà mục tiêu là những người dùng Windows. Các cuộc tấn công này lợi dụng các tài liệu Office kèm nội dung Flash độc hại được phân phối qua email".

Hãng Adobe khuyến cáo như sau: "Từ Flash Player 27, các quản trị viên có thể thay đổi hành vi của Flash Player khi chạy trên Internet Explorer trên Windows 7 và bằng cách nhắc người dùng trước khi mở nội dung SWF. Quản trị viên cũng có thể xem xét việc bật tính năng Protected View cho Office. Protected View mở các file được đánh dấu là không an toàn ở chế độ Read-only”.

Trong thời gian chờ đợi bản cập nhật bảo mật, người dùng cần cẩn trọng hơn trong việc duyệt web, email và mở các file văn bản: không tự động chạy flash khi được hỏi từ các trang web lạ, không rõ nguồn gốc. Khi duyệt mail, file văn bản như word, excel cần mở trong các môi trường an toàn như Protected View của Office hay SafeRun của Antivirus.

Theo WhiteHat, Securityaffairs​

 

Lâu lắm rùi mình cũng không cài Flash Player vào máy do các trình duyệt hiện tại đã hỗ trợ html5 nên công nghệ Flash Player có vẻ đã lạc hậu hoặc được sử dụng để chạy các phần mềm nhất định. Không biết các bạn còn sử dụng Flash Player không.

 

Adobe Flash Player đã được cập nhật lên phiên bản 28.0.0.161 để vá lỗ hổng này. Anh em update lên nhé...