Операторы ходовых эксплойт-паков спешат взять на вооружение уязвимость нулевого дня в Adobe Flash Player, преданную гласности взломщиками Hacking Team.

Как сообщают ИБ-исследователи, в частности Kafeine, соответствующий эксплойт уже добавлен в наборы Angler, Neutrino и Nuclear. Практически одновременно с этим откровением Adobe выпустила патч для опасной бреши.

Интернет-сообщество узнало о взломе Hacking Team в минувшее воскресенье, а к полудню понедельника по Сети пошли гулять известия о новой 0-day во Flash и непропатченной уязвимости в ядре Windows. Хотя украденный у Hacking Team архив включал лишь PoC-код, открывающий на компьютере калькулятор, сопроводительные тексты, видимо, содержат достаточно информации для создания рабочих эксплойтов.

Kafeine также поведал Threatpost, что первой отреагировала на новую возможность команда Metasploit; соответствующий модуль был создан и внедрен во фреймворк прежде, чем начались повальные обновления эксплойт-паков.

Во вторник вечером Adobe опубликовала информационный бюллетень, заявив о намерении выпустить экстренный патч для Flash. Уязвимость CVE-2015-5119, о которой идет речь, актуальна для Flash Player версий 18.0.0.194 и ниже, установленных на платформах Windows, Mac OS X и Linux.

Тем временем эксперты ИБ-компании Bromium обнародовали результаты анализа данной бреши, которую они относят к типу use-after-free (UAF). По их словам, уязвимость CVE-2015-5119 существует из-за ошибки использования после освобождения в классе ByteArray, она позволяет атакующему установить контроль над целевой системой. Исследователь Ник Кано (Nick Cano) пишет, что Hacking Team построила свой PoC-код исходя из уже известной уязвимости CVE-2014-0322 (так называемая атака ActionScript-Spray); этот гибридный эксплойт использует сбой UAF в Internet Explorer, чтобы получить доступ к динамической памяти процесса.

«Созданный Hacking Team эксплойт работает по этому принципу, но использует UAF-баг, присущий движку ActionScript 3», — пояснил Кано. В блог-записи Bromium представлены подробное описание уязвимости и способ ее эксплуатации, предложенный Hacking Team.

По свидетельству Кано, PoC-эксплойт Hacking Team снабжен шелл-кодом для 32- и 64-битных версий Windows и для 64-битной Mac OS X, а также средствами обхода EMET, бесплатного инструмента от Microsoft.

«Мы опробовали этот эксплойт против новейших, пропатченных Flash Player 18 и Internet Explorer и убедились, что на настоящий момент это действительно угроза нулевого дня, — констатирует эксперт. — Эксплуатация потенциально позволяет полностью завладеть почти любой уязвимой системой; самый надежный способ блокировать такую атаку — глухая изоляция».

Анализ данной уязвимости представили (перевод Google) также исследователи из китайской 360Vulcan Team, команды — лауреата конкурса Pwn2Own-2015.

Категории: Вредоносные программы, Главное, Уязвимости