Proxy-Base-News

Компания Adobe в экстренном порядке обновила Flash Player, закрыв уязвимость нулевого дня, которая уже засветилась в целевой атаке. Согласно бюллетеню, брешь CVE-2018-15982 возникла из-за ошибки использования освобожденной памяти и грозит исполнением произвольного кода в контексте текущего пользователя.

Уязвимости подвержен Flash Player выпусков 31.0.0.153 и ниже. Пользователям продукта рекомендуется как можно скорее обновить его на всех платформах до сборки 32.0.0.101.

Заодно Adobe устранила брешь в инсталляторе Flash Player, которую она оценила как существенную. Эта уязвимость (CVE-2018-15983) позволяет подменить DLL-библиотеку, загружаемую при запуске плеера, и повысить таким образом привилегии вредоносного варианта. Исключить угон DLL поможет установка релиза 31.0.0.122 инсталлятора (на Windows), который можно скачать из центра загрузок вместе с пропатченным Flash Player или получить в обычном порядке через встроенный механизм обновления.

Уведомление об эксплойте нулевого дня Adobe получила 29 ноября — отчет подали сразу несколько исследователей, в том числе из китайской компании Qihoo 360 и калифорнийской Gigamon. Анализ показал, что используемый в целевых атаках вредоносный rar-архив содержит документ-приманку в формате .docx и файл scan042.jpg с финальной полезной нагрузкой.

Копии камуфляжного документа обнаружились также на VirusTotal — файлы 22.docx и 33.docx были загружены для проверки с одного и того же украинского IP-адреса. Их содержимое одинаково и включает русскоязычную анкету сотрудника московской ведомственной поликлиники со скрытым объектом Flash, нацеленным на эксплойт CVE-2018-15982.

Имитация атаки в лабораторных условиях показала, что открытия документа достаточно для запуска эксплойта и целевого зловреда. Правда, защита Microsoft Word предупреждает пользователя, что встроенный контент может оказаться вредоносным. Если тот согласится продолжить, произойдет исполнение команды на извлечение файла scan042.jpg и запуск содержащегося в нем backup.exe — кастомного трояна с функциями бэкдора.

Вредоносный код подписан краденым сертификатом, выданным британской транспортной компании (он уже отозван). Зловред прежде всего проверяет наличие антивируса в системе — от F-Secure, Panda, ESET, Avira, Bitdefender, Symantec (Norton) или «Лаборатории Касперского». Обнаружив соответствующие файлы или процессы, он использует функциональность самоуничтожения.

В противном случае троян копирует себя в папку %LocalAppData%, выдавая копию за панель управления NVIDIA, и добавляет в реестр ключ для запуска своего кода при каждом входе пользователя в систему.

При первом подключении к центру управления зловред отсылает шифрованную по base64 информацию о зараженной системе — через запрос HTTP POST. Судя по IP-адресу, командный сервер злоумышленников расположен в Румынии.

Источник: https://threatpost.ru/adobe-patches-...ted-itw/29586/