Вчера вышел патч для уязвимости нулевого дня во Flash Player, которую уже использует новая APT-группа ScarCruft, атакующая в основном высокопоставленные цели в России и Азии. Об этой бреши Adobe сообщили исследователи из «Лаборатории Касперского»; эксплойты к ней были замечены itw в марте, в ходе целевых атак, которые «лаборанты» идентифицируют как Operation Daybreak (операция «Рассвет»).

По словам экспертов, в настоящее время данная группировка проводит сразу несколько операций и имеет в своем распоряжении два эксплойта для Flash и один — для Internet Explorer. Не исключено, что ScarCruft использовала также еще одну уязвимость 0-day — CVE-2016-0147 в наборе служб MSXML (Microsoft XML Core Services), пропатченную два месяца назад.

В отчете о новой Flash-уязвимости «Лаборатория» указала, что она присутствует в коде, выполняющем парсинг метаданных ExecPolicy. Эксплойт ScarCruft реализует операции чтения-записи в конкретных адресах памяти, что позволяет удаленно исполнить код. Атака при этом осуществляется поэтапно, вначале грузится шелл-код и исполняется вредоносная DLL, загружаемая во Flash. Злоумышленники также применяют технику обхода детектирования антивирусами, использующую Windows-компонент DDE (Dynamic Data Exchange) — протокол, облегчающий передачу данных между приложениями.

«Если создать ассоциацию .lnk с исполняемым файлом или командой, а затем применить метод ShowGroup, целевая программа будет исполнена, — поясняют эксперты. — Это недокументированное поведение в Microsoft Windows».

На настоящий момент выявлено более 20 пострадавших от Operation Daybreak. Среди них числятся орган правопорядка азиатской страны, крупная торговая компания (также из Азии), американская компания, специализирующаяся на мобильной рекламе, а также ряд персон, связанных с Международной ассоциацией легкоатлетических федераций (IAAF). Все они вначале получили адресное письмо со ссылкой на страницу эксплойт-пака, ассоциируемого со ScarCruft. Если посетитель признается годным для атаки, его перенаправляют на польский сервер, контролируемый злоумышленниками.

«APT-группа ScarCruft — относительно новый игрок, которому некоторое время удавалось оставаться незамеченным, — рассказывают «лаборанты». — В целом их действия очень профессиональны и целенаправленны. Применяемые ими инструменты и технологии намного выше среднестатистического уровня».

По свидетельству «Лаборатории», группа ScarCruft также является автором Operation Erebus. В этих атаках, проводимых по методу водопоя, используется другая уязвимость во Flash — CVE-2016-4117.

Adobe реализовала во Flash Player ряд превентивных мер, помогающих, в частности, предотвратить атаки с обращением к памяти; в итоге использовать 0-day стало намного труднее. «В наши дни itw-эксплуатация Flash Player становится редкостью, — констатируют эксперты. — А все потому, что в большинстве случаев такие эксплойты нужно объединять с обходом песочницы, что значительно усложняет задачу. Однако изобретательные злоумышленники, такие как ScarCruft, видимо, будут по-прежнему использовать 0-day против высокопоставленных целей».

Участник исследовательского проекта Google Project Zero Натали Силванович также отметила, что усилия Adobe по предотвращению эксплойта Flash замедлили разработку таких инструментов, хотя и затруднили поиск багов с благой целью. Выступая на апрельской конференции INFILTRATE в Майами, Силванович уточнила, что использовать баги use-after-free стало сложнее, а другие классы уязвимостей, к примеру переопределение (redefinition), могут вовсе выйти из обихода.

Помимо атакуемой CVE-2016-4171 июньский апдейт Flash Player устраняет еще 35 брешей; в основном это баги нарушения целостности памяти. Пользователям десктопных Flash-версий 21.0.0.242 и ниже, работающих на Windows и Mac, рекомендуется обновиться до версии 22.0.0.192.

Категории: Аналитика, Главное, Уязвимости, Хакеры