Эксплойты для бреши нулевого дня в Adobe Flash Player агрессивно раздаются через два эксплойт-пака. Сама уязвимость была пропатчена вчера вечером, 7 апреля.

Эксплуатация CVE-2016-1019 itw была зафиксирована еще до выпуска патча; злоумышленники воспользовались этой 0-day для распространения вымогателей Locky и Cerber. Включение эксплойт-пака в схему доставки криптоблокеров — не новость, но в случае с Locky, раздающимся преимущественно через спам, открывает дополнительную возможность для масштабирования этой вредоносной операции, которая уже охватила сферу здравоохранения.

Новой уязвимости 0-day, связанной с путаницей типов данных, подвержены все версии Flash Player на Windows 10 и ниже. Соответствующий эксплойт, по свидетельству Proofpoint, уже добавлен в арсенал Nuclear и Magnitude; первый раздает Locky, второй мобилизован для доставки Cerber.

Помимо CVE-2016-1019 выпущенное Adobe обновление закрывает еще два десятка уязвимостей, в том числе многочисленные баги порчи памяти, а также use-after-free, type confusion, переполнение стека и обход защиты.

Комментируя 0-day под атакой, Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint по антивирусным операциям, отметил, что число потенциальных жертв могло бы исчисляться миллионами, однако новый эксплойт ориентирован лишь на устаревшие версии Flash Player. «Интересное наблюдение в отношении распространения эксплойта: атакующие, похоже, не используют эту возможность во всей полноте, — заявил эксперт. — Неясно, хорошо ли они понимают, что попало им в руки. Это уязвимость нулевого дня, но включенный в наборы эксплойт нацелен лишь на более ранние версии Flash. Они самовольно ограничили целевую аудиторию, зачем — непонятно».

Как бы то ни было, данный эксплойт уже пущен в ход. По свидетельству Эпштейна, в составе Magnitude он начал доставлять Cerber четыре дня назад, схема Nuclear-Locky с его участием заработала 31 марта. Оба эксплойт-пака не столь популярны у киберкриминала, как Angler, но тем не менее вполне эффективны и пользуются стабильным спросом на черном рынке. Для распространителей Locky, ежедневно рассылающих миллионы вредоносных писем, новый Flash-эксплойт — хороший шанс повысить процент доставки.

О патче для CVE-2016-1019 Adobe объявила заранее, за полтора дня до выпуска, чтобы всех предупредить о текущих атаках. В предварительном уведомлении было сказано, что эксплойт может вызвать крэш и позволяет атакующим выполнить произвольный код на уязвимой системе. Те, у кого установлен Flash 21.0.0.182, вышедший 10 марта, могут считать себя вне опасности, остальным рекомендуется незамедлительно произвести обновление. По данным Adobe, в настоящее время злоумышленники атакуют лишь Windows 7 и XP с установленным Flash версий 20.0.0.306 и ниже.

«Характер данной уязвимости позволяет атакующему выполнить произвольный код на целевой машине; в данном случае Flash-эксплойт помогает записать произвольные команды в конкретные ячейки памяти, — поясняет Эпштейн. — В рассматриваемом случае этот набор команд определяет загрузку и исполнение криптоблокера».

По словам эксперта, новый эксплойт проверяет лишь наличие устаревших версий Flash Player, хотя уязвимости подвержены все версии этого продукта, кроме только что вышедшей.

Категории: Главное, Уязвимости