В субботу Adobe начала латать брешь нулевого дня во Flash Player — ту самую, которая недавно была включена в меню эксплойт-пака Angler. Это уже второй критический патч для данного продукта за последние несколько дней. Первый разработчик выпустил в экстренном порядке в минувший четверг, устранив ранее неизвестную и уже атакуемую уязвимость, открывающую возможность обхода защиты Windows.

Ныне закрываемая брешь, CVE-2015-0311, была обнаружена французом Kafeine, известным исследователем эксплойт-паков и прочих зловредов, используемых для проведения целевых атак и совершения других криминальных действий. Данному багу подвержены Flash версий 16.0.0.287 и ниже, работающие под Windows и Mac OS X. По сведениям Adobe, эта брешь уже активно используется в ходе drive-by-атак против Internet Explorer и Firefox, установленных под Windows 8.1 и ниже.

«Успешная эксплуатация может привести к крэшу и в перспективе позволить атакующему установить контроль над уязвимой системой», — пишет разработчик в информационном бюллетене.

Соответствующий патч пока раздается через механизм автообновления Flash Player, работающего на десктопах. Новая, исправленная версия продукта вышла под номером 16.0.0.296. В бюллетене также отмечено: «Adobe планирует предоставить обновление для загрузки вручную в течение недели, начиная с 26 января; мы также работаем с партнерами-дистрибьюторами, чтобы обеспечить обновление Google Chrome и Internet Explorer версий 10 и 11».

Новых известий на сайте разработчика пока не появилось. «Вообще-то Adobe до сих пор числит новейшей версией 16.0.0.287, — заметил Иоганнес Улльрих (Johannes Ullrich), ИБ-исследователь из института SANS. — Версию 16.0.0.296  можно загрузить, если вручную проверить наличие обновлений через Flash».

Тот факт, что CVE-2015-0311 включена в набор Angler, весьма тревожен, так как это повышает шансы атакующих на успех в отсутствие доступного патча. Утешает лишь то, что новейший эксплойт, по словам Kafeine, включен далеко не во все версии Angler. На прошлой неделе исследователь заявил в Twitter, что стоящая за этим набором эксплойтов группа внесла изменения в код и получила возможность атаковать Firefox, а также полностью пропатченный IE 11 под Windows 8.1. В настоящее время данный Flash-эксплойт нулевого дня используется для загрузки Bedep — зловреда, помогающего мошенникам зарабатывать на махинациях с онлайн-рекламой.

Эксперты Cisco тем временем ожидают, что тенденция к оперативному использованию Flash 0-day сохранит свою актуальность. «Данная группа внедряет такие эксплойты в эксплойт-пак Angler еще до публикации самих багов, — подчеркивают исследователи, представляя отчет Cisco в блоге компании. — Вкупе с таким популярным средством распространения Angler, как вредоносная реклама, эти 0-day-эксплойты обеспечивают еще больший потенциал для масштабной компрометации».

По наблюдениям Cisco, новый Flash-эксплойт в Angler нацелен лишь на IE и Firefox, для Chrome используются другие виды эксплойтов. Число атак с участием Angler резко возросло 20 января.

«Хотя этот всплеск показывает рост связанной с Angler активности, на долю этих атак приходится малая часть всего вредоносного трафика, — говорится далее в отчете Cisco. — Телеметрические данные позволили выявить домены, с которых ведется активная раздача новых эксплойтов; почти все они ассоциируются с одним и тем же регистратором. Похоже, атакующих больше всего интересует возможность быстрой регистрации и высокой ротации доменов. Тем не менее, несмотря на частую смену доменов, злоумышленники используют лишь два первичных IP-адреса (46[.]105.251.7 и 94[.]23.247.180)».

По данным Cisco, время жизни этих эксплойт-доменов составляет 24 часа, и операторы Angler изо дня в день регистрируют новые.

Категории: Главное, Уязвимости