SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Во Flash устранен опасный баг, уже используемый в атаках

06 декабря 2018 г., четверг, 16:17

Эксплойт внедрен в документ Word, замаскированный под заявку на трудоустройство в московской поликлинике.

Компания Adobe в экстренном порядке обновила Flash Player, закрыв уязвимость нулевого дня, которая уже засветилась в целевой атаке. Согласно бюллетеню, брешь CVE-2018-15982 возникла из-за ошибки использования освобожденной памяти и грозит исполнением произвольного кода в контексте текущего пользователя.

Уязвимости подвержен Flash Player выпусков 31.0.0.153 и ниже. Пользователям продукта рекомендуется как можно скорее обновить его на всех платформах до сборки 32.0.0.101.

Заодно Adobe устранила брешь в инсталляторе Flash Player, которую она оценила как существенную. Эта уязвимость (CVE-2018-15983) позволяет подменить DLL-библиотеку, загружаемую при запуске плеера, и повысить таким образом привилегии вредоносного варианта. Исключить угон DLL поможет установка релиза 31.0.0.122 инсталлятора (на Windows), который можно скачать из центра загрузок вместе с пропатченным Flash Player или получить в обычном порядке через встроенный механизм обновления.

Уведомление об эксплойте нулевого дня Adobe получила 29 ноября — отчет подали сразу несколько исследователей, в том числе из китайской компании Qihoo 360 и калифорнийской Gigamon. Анализ показал, что используемый в целевых атаках вредоносный rar-архив содержит документ-приманку в формате .docx и файл scan042.jpg с финальной полезной нагрузкой.

Копии камуфляжного документа обнаружились также на VirusTotal — файлы 22.docx и 33.docx были загружены для проверки с одного и того же украинского IP-адреса. Их содержимое одинаково и включает русскоязычную анкету сотрудника московской ведомственной поликлиники со скрытым объектом Flash, нацеленным на эксплойт CVE-2018-15982.

Имитация атаки в лабораторных условиях показала, что открытия документа достаточно для запуска эксплойта и целевого зловреда. Правда, защита Microsoft Word предупреждает пользователя, что встроенный контент может оказаться вредоносным. Если тот согласится продолжить, произойдет исполнение команды на извлечение файла scan042.jpg и запуск содержащегося в нем backup.exe — кастомного трояна с функциями бэкдора.

Вредоносный код подписан краденым сертификатом, выданным британской транспортной компании (он уже отозван). Зловред прежде всего проверяет наличие антивируса в системе — от F-Secure, Panda, ESET, Avira, Bitdefender, Symantec (Norton) или «Лаборатории Касперского». Обнаружив соответствующие файлы или процессы, он использует функциональность самоуничтожения.

В противном случае троян копирует себя в папку %LocalAppData%, выдавая копию за панель управления NVIDIA, и добавляет в реестр ключ для запуска своего кода при каждом входе пользователя в систему.

При первом подключении к центру управления зловред отсылает шифрованную по base64 информацию о зараженной системе — через запрос HTTP POST. Судя по IP-адресу, командный сервер злоумышленников расположен в Румынии.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.068
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.