Kaspersky Lab, Adobe Flash yazılımında bulunan bir sıfır gün açığı üzerinden gelen saldırıları tespit ederek başarılı bir şekilde engelledi.
Nisan ayı ortasında, Kaspersky Lab uzmanları tarafından tespit edilen, daha önce görülmemiş bir kod yakından incelendiğinde, açıklardan yararlanma amaçlı olan bu kodun yaygın şekilde kullanılan multimedya yazılımı Adobe Flash Player’da daha önce görülmemiş bir zayıf nokta kullandığı ortaya çıktı. Bu zayıf nokta, video ve fotoğraf işlemleri için tasarlanmış eski bir bileşen olan Pixel Bender içinde bulunuyor.
Sonraki araştırmalarda bu kodların, 2011 yılında Suriye Adalet Bakanlığı tarafından hukuk ihlalleri ile ilgili şikayetlerde bulunulması için yapılmış bir web sitesinden dağıtıldığı görüldü. Kaspersky, saldırının hükümet karşıtı muhalifleri hedef almak üzere tasarlandığını düşünüyor. Kaspersky Lab uzmanları, farklı shellcode’lara (bir yazılımdaki zayıf noktalardan yararlanılması sırasında yararlı bir yük gibi kullanılan küçük bir kod) sahip toplamda iki türde açıklardan yararlanma amaçlı kod keşfetti.
Konu ile ilgili açıklamada bulunan Kaspersky Lab Zayıf Nokta Araştırma Grubu Başkanı Vyacheslav Zakorzhevsky; “İlk kod, oldukça ilkel bir indir ve çalıştır kod yükü davranışı gösteriyor. İkinci kod ise, özellikle bir sunucunun bilgisayarının masaüstünde bulunan belge ve resimlerin birlikte görüntülenmesi gibi ortak çalışmalara yönelik özel bir Flash eklentisi olan Cisco MeetingPlace Express Add-In ile etkileşim içinde olmayı deniyor. Tamamen yasal olan bu eklenti, bu özel durumlarda bir casusluk aracı olarak kullanılabiliyor. Ayrıca bu ‘ikinci’ kodun yalnızca saldırı almış bilgisayardaki belirli Flash Player ve CMP Add-In sürümlerinde çalıştığını tespit ettik. Bu durum, saldırganların büyük olasılıkla oldukça kısıtlı sayıda bir kurban listesini hedef aldığı anlamına geliyor” dedi.
Açıklardan yararlanma amaçlı ilk kodun fark edilmesinden hemen sonra Kaspersky Lab uzmanları, Adobe temsilcilerini bu yeni zayıf nokta hakkında bilgilendirmek üzere onlarla bağlantıya geçti. Kaspersky Lab tarafından sağlanan bilgilerin incelenmesinin ardından Adobe, bu zayıf noktanın bir sıfır gün durumu barındırdığını onayladı ve şu anda Adobe’un web sitesinden ulaşılabilen bir yama geliştirdi. Bu zayıf noktanın CVE numarası ise CVE-2014-0515.
Bu zayıf noktadan yararlanmayı amaçlayan sadece sınırlı sayıda girişim olmasına rağmen, kullanıcıların Adobe Flash Player yazılım sürümlerini güncellemelerini öneren Vyacheslav Zakorzhevsky, “Bu zayıf nokta ile ilgili bilgilerin bir kere ortaya çıkması ile suçluların bu yeni kodları tekrar üretmeye çalışması ya da mevcut değişkenleri bir şekilde elde edip başka saldırılarda kullanmaları oldukça yüksek bir ihtimal. Herhangi bir yama çıkarılmış olsa bile, oldukça yaygın bir kullanıma sahip olan Flash Player yazılımının dünya genelinde bir güncelleme çıkarmasının biraz zaman alacak olmasından dolayı, siber suçlular bu zayıf noktadan faydalanmayı düşünebilirler. Ne yazık ki bu zayıf nokta bir süreliğine tehlike arz ediyor” dedi.
Internet Explorer’ın Düşüşü Swing’e Yaradı
