Opublikowana w ostatnią środę informacja Trend Micro wskazuje na to, że włamywacze stojący za atakami związanymi z akcją Pawn Storm wykorzystują nieznaną dotąd podatność wtyczki Adobe Flash. Ataki prowadzone w ramach operacji szpiegowskiej Pawn Storm są kierowane przeciw wybranym osobom, zazwyczaj mającym dostęp do istotnych informacji. Włamywacze w przeszłości korzystali z różnych podatności dnia zerowego, w tym dość sławnej luki w Java JRE.

Ataki Pawn Storm cały czas groźne

Obecnie celem ataku były ministerstwa spraw zagranicznych różnych krajów na całym świecie. Napastnicy przygotowali odpowiednio spreparowane wiadomości phishingowe, zawierające link do hostowanego eksploita, wykorzystującego świeżo odkrytą podatność, oznaczoną CVE-2015-7645. Aby zachęcić użytkowników do otwarcia danej wiadomości, umieszczane były tam informacje nawiązujące do aktualnych wydarzeń, między innymi samobójczego ataku z użyciem samochodu-pułapki na konwój NATO w Kabulu, rosyjskiego bombardowania w Syrii lub izraelskich ataków w strefie Gazy. Adresy URL były bardzo podobne do tych, które używano poprzednio w kwietniowych atakach kierowanych przeciw krajom członkowskim NATO oraz administracji Białego Domu w USA.

Zobacz również:

• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Podatne wersje wtyczek

Wiadomo na pewno, że podatne są wtyczki Flash w wersjach 19.0.0.185 oraz 19.0.0.207 dla Windows (oraz starsze), ale luka może z powodzeniem posłużyć do infekcji komputerów z systemem OS X, a nawet stacji roboczych z Linuksem (najnowsza wersja wtyczki Flash dla Linuksa oznaczona 11.2.202.535 jest również podatna, sama luka umożliwia obejście zabezpieczeń systemowych w OS X oraz Linuksie). Za pomocą tej luki napastnicy mogą w nienadzorowany sposób przejąć kontrolę nad systemem operacyjnym stacji roboczej, uzyskując uprawnienia zalogowanego użytkownika.

Firma Adobe poinformowała o podatności w biuletynie APSA15-05 i zamierza wydać poprawkę bezpieczeństwa w przyszłym tygodniu.

Tymczasowa obrona

Podatności wtyczki Adobe Flash były już dość często wykorzystywane do ataków. Ryzyko można zminimalizować, wprowadzając selektywne odblokowanie wtyczki dla każdej strony z osobna za pomocą dodatków typu FlashBlock lub NoScript, a także poprzez wyłączenie automatycznego uruchamiania Flasha w przeglądarce. Obie najważniejsze przeglądarki w Polsce (Chrome oraz Firefox) posiadają ustawienia, które pozwalają na selektywne odblokowanie wtyczki Flash. Użytkownik będzie mógł odblokować wtyczkę Flash wtedy, gdy jest ona niezbędna do obsługi danej funkcjonalności strony WWW.