Nuova vulnerabilità Flash 0-day sfruttata per distribuire i cryptoblocker

Gli exploit destinati alla nuova falla di sicurezza di tipo zero-day, individuata in Adobe Flash Player, vengono attualmente distribuiti in maniera aggressiva attraverso due distinti exploit pack. Di per se stessa, la vulnerabilità in questione è stata patchata lo scorso 7 aprile.

Lo sfruttamento della vulnerabilità CVE-2016-1019 era stato già rilevato, “in-the-wild”, prima della release della patch; i malintenzionati, in sostanza, utilizzavano la nuova 0-day per diffondere i temibili ransomware Locky e Cerber. Il coinvolgimento degli exploit pack nello schema di distribuzione dei cryptoblocker non rappresenta di certo una novità, ma nel caso di Locky, malware crittografico diffuso principalmente attraverso lo spam, tale modalità offre un’opportunità in più per amplificare la portata dell’operazione malevola in corso, la quale ha già interessato, a più riprese, il settoreb dell’assistenza sanitaria.

La nuova vulnerabilità 0-day, legata alla confusione dei tipi di dati, riguarda tutte le versioni di Flash Player su Windows 10 e precedenti. Il corrispondente exploit, secondo Proofpoint, è già stato aggiunto al “ricco” arsenale di cui dispongono Nuclear e Magnitude; il primo dei due kit di exploit è di fatto adibito alla diffusione di Locky, mentre il secondo pack malevolo viene utilizzato per recapitare Cerber alle potenziali vittime.

Oltre alla CVE-2016-1019, l’aggiornamento di sicurezza rilasciato da Adobe risolve ugualmente una ventina di ulteriori vulnerabilità, tra cui numerosi bug relativi a corruzione della memoria, use-after-free, type-confusion, stack overflow e bypass della protezione.

Nel commentare la 0-day sotto attacco, Kevin Epstein, Vice-presidente del Threat Operations Center di Proofpoint, ha osservato che il numero delle potenziali vittime potrebbe addirittura ammontare a milioni di utenti; il nuovo exploit, tuttavia, appare diretto esclusivamente alle versioni più datate di Flash Player. “La cosa davvero interessante, riguardo alla diffusione dell’exploit, è che gli attacker sembrano non sfruttare pienamente tale “opportunità”, – ha dichiarato l’esperto. – Non è chiaro, in effetti, se essi comprendono bene cosa si sono ritrovati tra le mani. Si tratta di una vulnerabilità 0-day, ma l’exploit incluso nei kit prende di mira soltanto le versioni precedenti di Flash. I malintenzionati hanno volontariamente limitato il proprio target; il motivo di tutto questo, però, non appare chiaro”.

Di qualunque cosa si tratti, l’exploit, però, è stato già messo in circolazione. Secondo Epstein, la distribuzione del ransomware Cerber attraverso l’exploit kit Magnitude è stata individuata soltanto a partire dal 4 aprile scorso, mentre lo schema Nuclear-Locky, con la “partecipazione” dell’exploit in causa, è risultato attivo sin dal 31 marzo. Entrambi gli exploit pack non sono così popolari, presso gli ambienti cybercriminali, come lo è, ad esempio, il kit Angler; essi, tuttavia, si dimostrano alquanto efficaci e, peraltro, sono stabilmente oggetto di domanda sul mercato nero della criminalità informatica. Per i malintenzionati che diffondono il ransomware Locky, e che ogni giorno inviano milioni di messaggi e-mail nocivi, il nuovo exploit Flash rappresenta un’ottima chance per poter incrementare il tasso di infezione.

Per quel che riguarda la patch destinata a chiudere la vulnerabilità CVE-2016-1019, Adobe aveva emesso una notifica preventiva, un giorno e mezzo prima della release della stessa, allo scopo di mettere in guardia gli utenti nei confronti degli attacchi in corso. Si affermava, attraverso tale notifica, che un exploit avrebbe potuto provocare il crash del sistema, ed avrebbe consentito la potenziale esecuzione di codice arbitrario, da parte di eventuali attacker, sulla macchina rivelatasi vulnerabile. Coloro che hanno provveduto ad installare Flash 21.0.0.182, rilasciato il 10 marzo, si possono considerare fuori pericolo; agli altri utenti si raccomanda, invece, di effettuare immediatamente il necessario update. Secondo i dati di cui dispone Adobe, al momento attuale i malintenzionati attaccano esclusivamente gli OS Windows 7 e XP, con installata la versione 20.0.0.306, o inferiore, di Flash.

“La particolare natura di questa vulnerabilità consente all’aggressore di poter eseguire codice arbitrario sulla macchina compromessa; in questo caso, l’exploit Flash assiste l’attacker nella scrittura di istruzioni arbitrarie su determinate celle della memoria, – spiega Epstein. – Nel caso specifico qui esaminato, il set dei comandi impartiti genera il download e la successiva esecuzione del cryptoblocker”.

Secondo l’esperto, il nuovo exploit verifica soltanto la presenza di versioni ormai “datate” di Flash Player, sebbene risultino sottoposte alla vulnerabilità in causa tutte le versioni di tale prodotto, ad eccezione dell’ultima, rilasciata di recente.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *