Малоизвестный эксплойт-пак HanJuan используется в атаках на последнюю обнаруженную 0-day-уязвимость в Adobe Flash Player. Компания Adobe все еще не выпустила патч, призванный закрыть эту уязвимость, которая, по словам исследователей из Trustwave, относится к типу use-after-free.

Это уже третий 0-day-баг, обнаруженный во Flash за последние две недели; предыдущие два уже пропатчены Adobe. На момент публикации представители Adobe не успели ответить на просьбу Threatpost прокомментировать ситуацию с патчем к третьей 0-day.

В понедельник Adobe подтвердила, что данная уязвимость присутствует в версиях Flash 16.0.0.296 и ниже, установленных под ОС Windows. Эксплойт этой уязвимости, CVE-2015-0313, по технике схож с другим 0-day-эксплойтом, недавно включенным в набор Angler, поэтому исследователи из Trustwave предположили, что обнаружила и использует обе бреши одна и та же группа злоумышленников. Предыдущая уязвимость была пропатчена на прошлой неделе.

«Эта уязвимость типа use-after-free вызвана некорректной обработкой свойства domainMemory (быстрый доступ к памяти, возможный при поддержке проекта Flash CC, ранее известного как Flash Alchemy), когда его используют Workers (фоновые потоки Flash)», — говорится в отчете Trustwave.

Французский исследователь Kafeine, обнаруживший Flash-эксплойт в Angler, склонен усматривать связь между этими 0-day эксплойтами и преступной группировкой, стоящей за Angler, которая также причастна к распространению кликера Bedep и вымогателя Reveton.

«Об эксплойт-паке HanJuan известно так мало в силу того, что цепочка редиректов строится с мощной фильтрацией трафика, в обход большинства дата-центров (исследователей, использующих VPN или частные виртуальные серверы для анализа эксплойтов и других зловредов)», — пояснил Kafeine в комментарии Threatpost.

Он также пояснил, что доставка полезной нагрузки осуществляется «бесфайловым» способом, при этом используется тот же метод шифрования (Xtea), что и в эксплойте Angler; новый эксплойт загружает зловред-кликер Bedep, как и в случае с CVE-2015-0311.

Как обнаружили в Trustwave, оба эксплойта позволяют получить доступ к памяти, используя технику heap spray. Исследователи приложили PoC-эксплойт к своему отчету, так как им удалось воспроизвести его в лабораторных условиях.

В понедельник Adobe издала информационный бюллетень об уязвимости CVE-2015-0313, сообщив, что она используется в атаках drive-by и с применением вредоносной рекламы. Вредоносные баннеры, перенаправляющие на эксплойт-площадки, были обнаружены на ряде крупных сайтов, в том числе на DailyMotion, Wowhead, Answers.com и Engage:BDR. По данным Adobe, эти эксплойты нацелены на компьютеры под управлением ОС Windows 8.1 и ниже, использующие Internet Explorer или Firefox.

Update: 5 февраля Adobe выпустила экстренное обновление для Flash Player, включив в него в числе прочих патч для CVE-2015-0313, который днем ранее начал раздаваться через автоматизированную службу обновлений Flash.

Категории: Вредоносные программы, Уязвимости