I ricercatori dei Kaspersky Lab hanno scoperto una vulnerabilità di tipo zero-day nel software di Adobe Flash Player, un exploit mai visto in precedenza e rilevato grazie all’analisi dei dati provenienti dal Kaspersky Security Network. Questa falla riguarda un exploit distribuito tramite un sito web governativo, creato per raccogliere le denunce pubbliche riguardanti le violazioni della legge in Medio Oriente. Nel dettaglio si tratta di un sito web creato nel 2011 dal Ministero della Giustizia siriano, per consentire alle persone di presentare i reclami inerenti alle violazioni della legge.
Attraverso un esame più approfondito si è scoperto che l’exploit stava usando una vulnerabilità, anche questa sconosciuta, all’interno del popolare software multimediale Adobe Flash Player. La vulnerabilità era presente in Pixel Bender, un vecchio componente progettato per il video e l’elaborazione fotografica. Gli esperti di Kaspersky Lab hanno scoperto, in totale, due tipi di exploit con qualche differenza per quanto riguarda lo shellcode, un frammento di codice utilizzato come payload per sfruttare la vulnerabilità di un software. Dopo aver rilevato queste minacce gli esperti Kaspersky hanno contattato i rappresentanti di Adobe per rendere nota la situazione e l’effettiva vulnerabilità del codice. Dopo aver esaminato le informazioni fornite Adobe ha riconosciuto che la vulnerabilità ha uno status zero-day e ha di conseguenza, sviluppato una patch resa disponibile sul sito di Adobe.
Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager di Kaspersky Lab: Il primo exploit ha mostrato un comportamento piuttosto primitivo di download e esecuzione di payload mentre il secondo ha provato ad interagire con Cisco MeetingPlace Express Add-In, uno speciale plugin di Flash per il co-working che consente una visione congiunta di documenti e immagini sul desktop del PC dell’utente. Questo plugin è del tutto regolare, ma in circostanze particolari come queste potrebbe essere usato come strumento di spionaggio. Inoltre abbiamo scoperto che questo ‘secondo’ exploit funziona solo se sul PC è stata installata una determinata versione di Flash Player e di CMP Add-In. Questo vuol dire che i criminali avevano pensato ad un attacco rivolto ad una lista molto limitata di vittime.
Nonostante siano stati individuati solo un numero limitato di tentativi volti a sfruttare questa vulnerabilità, raccomandiamo vivamente agli utenti di aggiornare la versione del software Adobe Flash Player. E’ possibile che una volta che le informazioni su questa vulnerabilità vengano rese note, i criminali possano cercare o di riprodurre questi nuovi exploit o in qualche modo tentare di ottenere le varianti esistenti e utilizzarle in altri attacchi. Anche con una patch disponibile, i criminali informatici si aspettano di trarre profitto da questa vulnerabilità considerato che un aggiornamento a livello mondiale di un software cosi utilizzato come Flash Player richiederà sicuramente un periodo di tempo non breve. Purtroppo questa vulnerabilità sarà pericolosa ancora per un po’.
