Компания Adobe выпустила внеплановое обновление для Flash Player, которое закрывает уязвимость нулевого дня, уже используемую в кибератаках с целью шпионажа. Сообщившие об опасной бреши исследователи из FireEye обнаружили также редиректы на активный эксплойт, размещенные на сайтах правительственных ведомств и некоммерческих организаций США, таких как Институт мировой экономики Петерсона, Американский исследовательский центр в Египте (ARCE) и фонд Смита Ричардсона. По свидетельству FireEye, целью эксплойта в рамках данной атаки, которую эксперты нарекли Operation GreedyWonk, является загрузка программы удаленного администрирования семейства PlugX.

«Очевидно, что инициаторы данной атаки целенаправленно компрометируют сайты, освещающие вопросы международной безопасности, национальной обороны, а также социально-культурные события, — отмечено в отчете FireEye. — По всей видимости, у атакующих есть возможность надолго закрепиться на этих сайтах или периодически возобновлять свое присутствие».

Эксперты полагают, что авторы Operation GreedyWonk не ограничены в ресурсах и имеют доступ к еще неизвестным эксплойтам против Flash и Java. Злоумышленники взламывают тематические сайты, чтобы устроить засаду на их посетителей, среди которых много сотрудников правительственных служб и дипломатов, обладающих ценной информацией.

Экстренный патч Adobe к уязвимости нулевого дня CVE-2014-0502 актуален для Flash Player версий 12.0.0.44 и более ранних, работающих под Windows или Mac OS X, а также для Flash версий 11.2.202.336 и ниже под Linux. Данная double-free-уязвимость открывает возможность для удаленного выполнения произвольного кода.

В обнаруженном FireEye эксплойте используются известные методы обхода ASLR-защиты, что позволяет ему с успехом атаковать пользователей Windows XP, а также Windows 7 с устаревшей версией Java (1.6) или непропатченным пакетом Microsoft Office 2007/2010. По словам FireEye, апгрейд ОС (в случае с ХР) и обновление Java и Office способны значительно снизить риски, но брешь это не устранит. «Исключив все возможные методы обхода ASLR для данного itw-эксплойта, можно предотвратить его срабатывание», — поясняют эксперты.

После отработки эксплойта на машину пользователя устанавливается бэкдор PlugX/Kaba. Образец, проанализированный в FireEye, был скомпилирован 12 февраля, за день до обнаружения. Как оказалось, один из трех C&C-доменов, к которым подключается данный зловред, уже использовался ранее другими вариантами PlugX, а также его собратом Poison Ivy.

Возвращаясь к Adobe, заметим, что это уже второй внеплановый патч для Flash в текущем месяце.

Категории: Уязвимости