Subsistemul de detecţie euristică al Kaspersky Lab a blocat cu succes atacuri lansate prin intermediul unei vulnerabilităţi de tip zero-day din software-ul Adobe Flash. Cercetătorii Kaspersky Lab au descoperit această lacună, care a fost folosită de exploit-uri distribuite prin intermediul unui website guvernamental legitim, creat pentru a colecta plângeri publice cu privire la încălcări ale legii într-o ţară din Orientul Mijlociu.
La mijlocul lunii aprilie, experţii Kaspersky Lab care analizează informaţiile colectate de Kaspersky Security Network, au descoperit un exploit necunoscut anterior. La o examinare mai atentă, experţii au descoperit că exploit-ul folosea o vulnerabilitate nedetectată anterior din Adobe Flash Player.
Vulnerabilitatea se află în Pixel Bender – o componentă veche, utilizată pentru procesarea fotografiilor şi a fişierelor video.
Analiza ulterioară a constatat că exploit-urile au fost distribuite prin intermediul unui website creat în 2011 de către ministerul sirian de justiție pentru a permite oamenilor să depună plângeri cu privire la încălcări ale legii. Experţii Kaspersky Lab consideră că atacul a fost lansat pentru a viza disidenții sirieni care se plângeau de guvern.
Astfel, au fost descoperite, în total, două tipuri de exploit-uri, cu diferențe în shellcode (o mică parte de cod, folosită ca payload pentru exploatarea unei vulnerabilități de software).
„Primul exploit avea un comportament de payload destul de primitiv de descărcare şi lansare, însă cel de-al doilea încerca să interacționeze cu Add-In-ul Cisco MeetingPlace Express – un plug-in Flash special folosit pentru acţiuni simultane, în special pentru afişarea documentelor și a imaginilor de pe PC-ul unui prezentator”, a declarat Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager în cadrul Kaspersky Lab. „Acest plug-in este complet legitim, dar în aceste circumstanțe speciale ar putea fi folosit ca un instrument de spionaj. Mai mult decât atât, am descoperit că acest al doilea exploit funcţionează doar în cazul în care anumite versiuni de Flash Player și CMP Add-In sunt instalate pe PC-ul atacat. Acest lucru înseamnă că, probabil, atacatorii vizează o listă foarte limitată de victime”, a completat Vyacheslav Zakorzhevsky.
Imediat dupa ce au descoperit primul exploit, specialiștii Kaspersky Lab au contactat reprezentanţii Adobe pentru a-i informa cu privire la noua vulnerabilitate. După examinarea informațiilor furnizate de Kaspersky Lab, Adobe a recunoscut că vulnerabilitatea are un statut de tip zero-day și a dezvoltat un patch care este acum disponibil pe site-ul Adobe. Numărul CVE al acestei vulnerabilităţi este CVE-2014-0515.
„Deși numărul de încercări de a exploata această vulnerabilitate a fost limitat, recomandăm insistent utilizatorilor să actualizeze software-ul Adobe Flash Player. Este posibil ca, odată ce informațiile despre această vulnerabilitate devin cunoscute, infractorii să încerce să reproducă aceste noi exploit-uri sau să obțină variantele existente și să le utilizeze în alte atacuri. Chiar dacă un patch este disponibil, infractorii cibernetici se așteaptă să profite de această vulnerabilitate, deoarece o actualizare la nivel mondial a unui software popular cum este Flash Player va lua ceva timp. Din păcate, această vulnerabilitate va continua să fie periculoasă pentru o vreme”, a avertizat Vyacheslav Zakorzhevsky.
Este a doua oară în acest an când experţii Kaspersky Lab descoperă o vulnerabilitate de tip zero-day. În luna februarie, specialiștii companiei au descoperit CVE-2014-0497 – o altă vulnerabilitate zero-day din Adobe Flash Player, care permite atacatorilor să infecteze pe ascuns PC-urile victimelor.
Subsistemul de detecție euristică este o parte a motorului antivirus, fiind prezent în mai multe produse Kaspersky Lab pentru utilizatori individuali şi companii, cum ar fi Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business și altele. La fel ca un antivirus tradițional, acest sistem folosește o bază de date de semnături pentru a detecta programele malware. Dar, în timp ce tehnologia antivirus necesită, de obicei, o semnătură pentru fiecare piesă individuală a malware-ului, indiferent de cât de strâns legate ar fi acestea, detecția euristică poate acoperi o întreagă varietate de programe malware. Ea face acest lucru cu ajutorul euristicii – semnături speciale, care detectează nu numai malware individual, ci şi întreaga colecție de programe malware grupate în funcție de o listă de caracteristici speciale. Semnătura euristică responsabilă pentru descoperirea comportamentului noului exploit de tip zero-day din Adobe Flash, a fost inclusă în bazele de date Kaspersky Lab încă din luna ianuarie.
Mai mult decât atât, în timpul unui test special realizat de specialiștii Kaspersky Lab, aceştia au descoperit că exploit-urile care folosesc CVE-2014-0515 sunt detectate cu precizie de tehnologia Kaspersky Lab Automatic Exploit Prevention – un alt instrument eficient pentru detectarea ameninţărilor.
În noiembrie 2013, aceeași tehnologie a blocat cu succes atacurile care foloseau o vulnerabilitate de tip zero-day din programul Microsoft Office. De asemenea, la sfârșitul anului 2012, tehnologia a blocat în mod proactiv mai multe componente malware, care – așa cum a fost descoperit mai târziu – au aparţinut operaţiunii Octombrie Roșu, o campanie de spionaj cibernetic la scară largă detectată de cercetatorii de Kaspersky Lab în ianuarie 2013.
