В VirusTotal обнаружен вредоносный документ Word, содержащий экплоит для данной уязвимости.
Компания Adobe во внеочередном порядке выпустила патчи, устраняющие в том числе уязвимость нулевого дня (CVE-2018-15982) в Flash Player, которая позволяет выполнить произвольный код и повысить привилегии на атакуемой системе. Уязвимость затрагивает версии 31.0.0.153 и более ранние Adobe Flash Player Desktop Runtime, Adobe Flash Player для Google Chrome; Adobe Flash Player для Microsoft Edge и Internet Explorer 11, а также версии Adobe Flash Player Installer 31.0.0.108 и ниже.
В минувшем месяце специалисты компаний Gigamon (ранее ICEBRG) и Qihoo 360 Core Security обнаружили в сервисе VirusTotal вредоносные документы Microsoft Office, содержащие эксплоит для данной уязвимости. Код был встроен в Flash Active X объект в документе Word, оформленном в виде заявления о приеме на работу в одну из российских государственных клиник. По данным специалистов Quihoo, обнаружившим атаку, речь идет о ФГБУ "Поликлиника № 2" Управления делами Президента РФ, обслуживающей государственных служащих высших органов исполнительной, законодательной, судебной власти Российской Федерации, а также известных деятелей науки и искусства. Специалистам пока не удалось выяснить, кто стоит за кампанией, получившей название "Operation Poison Needles". Учитывая ее направленность и осторожность организаторов, исследователи полагают, что целью злоумышленников являются высокопоставленные лица.
При исполнении элемента Flash Active X код повышал свои права и получал доступ к системе, а затем устанавливал простой бэкдор. По данным экспертов, вредоносный документ был загружен на VirusTotal с украинского IP-адреса спустя несколько дней после инцидента в Керченском проливе. Стоит отметить, что обе компании указывают на сходство вредоносного кода с эксплоитами, созданными итальянским вендором HackingTeam, чьи наработки утекли в 2015 году в результате взлома компьютерной сети.
Помимо вышеуказанной проблемы, Adobe также исправила уязвимость повышения привилегий (CVE-2018-15983), которую можно проэксплуатировать путем подмены DLL-библиотеки.
От классики до авангарда — наука во всех жанрах