- PVSM.RU - https://www.pvsm.ru -

Уязвимость Flash Player используется для направленных атак

В конце прошлой недели Adobe закрыла уязвимость в Flash Player CVE-2014-0502 через обновление APSB14-07 [1]. Согласно информации [2] FireEye сразу несколько государственных и крупных частных веб-сайтов были скомпрометированы вредоносным iframe и перенаправляли посетителей на веб-страницу с эксплойтом к 0day уязвимости. Эксплойт использует преимущества устаревших библиотек, скомпилированных без поддержки ASLR, для создания стабильных и переносимых цепочек ROP для обхода DEP. В случае с Windows XP гаджеты ROP формируются с использованием msvcrt.dll. В случае с Windows 7 используется библиотека hxds.dll, которая поставляется в составе Microsoft Office 2007 or 2010 (см. MS13-106 [3] «Security Feature Bypass»), а также out-of-date Java 1.6 & 1.7 с msvcr71.dll. Более подробную информацию об эксплуатации этих DLL см. в таблице [4].

Уязвимость Flash Player используется для направленных атак

После успешной эксплуатации вредоносный .swf загружает в систему пользователя средство удаленного доступа PlugX RAT (ESET: Win32/Korplug.BX, Microsoft: Backdoor:Win32/Plugx.H). Сам эксплойт обнаруживается ESET как SWF/Exploit.CVE-2014-0502.A (Microsoft: Exploit:SWF/CVE-2014-0502.A, Symantec: Trojan.Swifi). Такие браузеры как Internet Explorer (10 & 11 на Windows 8/8.1 через Windows Update) и Google Chrome обновили свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801 [5]. Проверьте вашу версию Flash Player на актуальность здесь [6], ниже в таблице указаны эти версии для различных браузеров.

Уязвимость Flash Player используется для направленных атак

Эксплойт не содержит возможностей по обходу sandbox механизмов в IE или Chrome. Наши обычные рекомендации в таком случае:

  • Используйте браузеры с поддержкой sandboxing.
  • Регулярно обновляйте ПО & OC.
  • Используйте EMET или security-продукты с возможностью блокирования и своевременного обнаружения действий эксплойтов. Вчера Microsoft выпустила 5-ю версию EMET v5 Technical Preview, скачать которую можно здесь [7].

image
be secure.

Автор: esetnod32

Источник [8]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/55949

Ссылки в тексте:

[1] APSB14-07: http://helpx.adobe.com/security/products/flash-player/apsb14-07.html

[2] информации: http://www.fireeye.com/blog/technical/targeted-attack/2014/02/operation-greedywonk-multiple-economic-and-foreign-policy-sites-compromised-serving-up-flash-zero-day-exploit.html

[3] MS13-106: https://technet.microsoft.com/en-us/security/bulletin/ms13-106

[4] таблице: http://habrahabr.ru/company/eset/blog/209694/

[5] 2755801: http://technet.microsoft.com/en-us/security/advisory/2755801

[6] здесь: http://www.adobe.com/software/flash/about/

[7] здесь: http://www.microsoft.com/en-us/download/details.aspx?id=41963

[8] Источник: http://habrahabr.ru/post/213947/