Vulnerabilità Flash e Windows usate per attacchi mirati

Ancora una volta, appare evidente come la tempestiva installazione degli aggiornamenti per Flash Player consenta di mettersi al riparo da problemi e rischi di attacco.
Gli esperti di FireEye hanno infatti spiegato che due vulnerabilità – la prima scoperta in Flash Player (sanabile mediante l’installazione di un apposito aggiornamento), la seconda in Windows (a tutt’oggi ancora irrisolta) – sono state utilizzate da un gruppo di criminali informatici russi (APT28) per attaccare con successo obiettivi governativi di alto profilo a livello internazionale.

La falla di sicurezza che è stata sfruttata, è risolvibile mediante l’installazione della versione 17.0.0.169 di Flash Player. Per verificare quale versione di Flash Player si sta utilizzando con i vari browser installati sul proprio sistema, è sufficiente visitare questa pagina web.
Il riquadro “Version information – You have version nnn installed” indica quale versione di Flash Player viene utilizzata dal browser web mentre, nella parte inferiore della pagina, vengono riportate le versioni più recenti attualmente disponibili per ogni singolo browser.

Google Chrome così come le ultime versioni di Internet Explorer, integrano una versione “ad hoc” di Flash Player. Per aggiornare Flash Player è quindi necessario attendere che Google e Microsoft mettano a disposizione degli utenti delle patch correttive. Nel caso di Chrome, basta installare l’ultima versione del browser o comunque verificare che il programma venga aggiornato automaticamente (pulsante Impostazioni, Informazioni su Google Chrome).

Come funziona l’attacco

I tecnici di FireEye hanno spiegato che il team russo di APT28 è riuscito nell’aggressione persuadendo l’utente a visitare una pagina web malevola contenente un contentuto Flash appositamente realizzato.
Sfruttando la falla di sicurezza in Flash Player (CVE-2015-3043), risolvibile attraverso l’installazione della release 17.0.0.169, sono riusciti ad eseguire codice nocivo sulle macchine degli utenti che non avevano aggiornato il sistema. Quindi, facendo leva sulla falla ancora presente in Windows (CVE-2015-1701; i tecnici di Microsoft sono attualmente al lavoro per correggerla), gli aggressori sono riusciti a caricare ed eseguire codice dannoso nell’ambito dell’account SYSTEM (vedere questa pagina).