Scoperte altre vulnerabilità zero-day di Flash

I 400 GB di dati del gruppo Hacking Team sono diventati un autentico “pozzo di San Patrizio”. Negli ultimi giorni è iniziata un vera e propria compravendita delle vulnerabilità zero-day scoperte dagli hacker italiani e descritte in dettaglio nei file pubblicati sui siti P2P. Il software più gettonato è Adobe Flash Player, di cui sono stati divulgati altri due bug critici, già inclusi in tutti gli exploit kit più popolari del momento.

Adobe ha rilasciato una patch per la precedente vulnerabilità, indicata come CVE-2015-5119, ma i cybercriminali continuano ancora a sfruttare il bug per tentare di accedere ai computer degli utenti. Hacking Team ha ora messo a disposizione dei malintenzionati altre due falle presenti in Flash Player (CVE-2015-5122 e CVE-2015-5123) che, come la prima, permette di eseguire codice arbitrario ed ottenere il controllo remoto del sistema, utilizzando una tecnica nota come “use after free”.

Dato che nei file di Hacking Team sono presenti anche i proof-of-concept, ovvero il codice degli exploit, i cybercriminali di tutto il mondo possono eseguire attacchi contro target specifici in poco tempo. Il gruppo italiano ha inserito gli exploit nel suo spyware Remote Control System (RCS), usato da governi e agenzie di vari paesi per le loro attività di sorveglianza.

Le vulnerabilità sono presenti in tutte le versioni del plugin per Windows, Mac e Linux. Adobe ha promesso il rilascio di una versione aggiornata di Flash Player entro pochi giorni. Fino ad allora è altamente consigliata la disattivazione di Flash nel browser, anche se (al momento) i rischi sono limitati.