Nuova vulnerabilità di tipo zero-day per Flash Player di Adobe, sfruttata a quanto pare in diversi casi da un gruppo di hacker cinesi ribattezzato Apt3. La buona notizia è che l’azienda ha già rilasciato una patch per risolvere il problema, disponibile in automatico su Google Chrome e Internet Explorer per Windows 8 e 8.1, oppure dal download center di Adobe. Tramite una campagna di phishing, i cybercriminali sono riusciti a sfruttare l’ingenuità di moltissimi dipendenti di organizzazioni e imprese operanti in diversi settori, tra cui l’aerospaziale, l’hi-tech e le telecomunicazioni. I messaggi di posta elettronica, etichettabili come spam, contengono un link fraudolento che indirizza a un server corrotto. Una volta giunti sulla pagina infetta, si attiva una sequenza JavaScript in grado di profilare l’utente. Grazie a questa schedatura, gli hacker possono capire quali sono le potenziali vittime e quali utenti invece è meglio lasciar perdere.
Ma, ovviamente, la complessa procedura attivata dai pirati informatici non finisce qui. Dopo la creazione del profilo sul server corrotto, sul terminale della vittima vengono scaricati in modo inconsapevole due file. Uno è un file vettoriale di tipo Shockwave Flash (Swf) e l’altro è un Flash Video, con estensione Flv. Analizzando il codice contenuto nel secondo oggetto, i ricercatori di FireEye hanno scoperto l’esistenza di una backdoor conosciuta come Shotput o CookieCutter.
I cybercriminali sono quindi riusciti a sfruttare una vulnerabilità all’interno di Flash: in particolare, nel mondo in cui la tecnologia sviluppata da Adobe effettua l’analisi dei file Flv. Il gruppo Apt3 ha sfoderato tecniche di “corruzione” dei vettoriali per eludere la funzione Address Space Layout Randomization (Aslr): una misura di protezione che consiste nel rendere parzialmente casuale l’indirizzo delle librerie e delle aree di memoria più sensibili.
Inoltre, gli hacker hanno utilizzato la programmazione orientata al ritorno (Rop, Return-Oriented Programming) per bypassare anche la funzione Data Execution Prevention (Dep), che permette ai moderni sistemi operativi di etichettare alcune aree di memoria come “eseguibili” o “non eseguibili”, consentendo così solo ai dati contenuti in una zona “eseguibile” di essere utilizzati da programmi, dispositivi, servizi e così via.
La vulnerabilità, registrata con la sigla Cve-2015-3113, dovrebbe risolversi completamente con l’aggiornamento di Flash Player rilasciato già ieri da Adobe. Le nuove versioni del software, considerate attualmente sicure, sono la 18.0.0.194 per sistemi operativi Windows e Mac, la 11.2.202.468 per Linux e la 13.0.0.296 per la versione extended support.