Anche se il suo destino è segnato, Adobe Flash Player rimane ancora oggi uno dei bersagli preferiti dai cybercriminali. Il CERT della Corea del Sud ha scoperto un exploit che sfrutta una vulnerabilità zero-day presente nell’ultima versione del plugin (28.0.0.137) per Windows, macOS, Linux, Chrome OS, Microsoft Edge e Internet Explorer 11.
Gli esperti del Talos Group di Cisco Systems hanno analizzato l’exploit e pubblicato una descrizione dettagliata del suo funzionamento. La vulnerabilità zero-day consente di effettuare un attacco di tipo “user after free” (accesso alla memoria dopo che è stata liberata) e di prendere il controllo del sistema operativo. Ciò avviene attraverso l’esecuzione di codice infetto nascosto in un oggetto Flash. L’oggetto in questione è un file SWF inserito in un documento Excel distribuito via email. Quando l’utente apre il foglio di lavoro, l’exploit scarica un payload da un sito web compromesso.
Gli esperti di Talos hanno scoperto che il payload è il noto tool di amministrazione remota ROKRAT, già utilizzato in precedenti attacchi e sviluppato dal Group 123 formato da cybercriminali probabilmente legati al governo nordcoreano. È quindi presumibile che l’attacco sia stato effettuato contro specifici bersagli di alto profilo.
Adobe ha comunicato che la distribuzione della nuova versione di Flash Player è imminente e avverrà prima del consueto Patch Tuesday mensile (13 febbraio). In ogni caso è consigliabile disattivare il plugin oppure disinstallarlo se non necessario. Quasi tutti i siti web più popolari usano lo standard HTML5 per i video.
Aggiornamento del 7 febbraio: Adobe ha corretto la vulnerabilità con Flash Player 28.0.0.161.