Новая уязвимость Флеш-плеера фирмы ADOBE

Здравствуй дорогой читатель или гость этого блога! 
Я хочу Вам рассказать самые последние новости по интернет угрозам и как постараться обезопасить себя и не попасться на удочку мошенников! В интернет сети  в апреле сего года появилась совершенно новая угроза заражения компьютера вирусом  
Новая 0-day уязвимость в самом  Flash Player (CVE-2014-0515)
которые   используются в  самих атаках типа watering hole

В середине месяца  апреля 2014 года было  обнаружено совершенно  два самых новых SWF эксплойта, при самом детальном их  анализе при  которых выяснилось, что они здесь  не используют ни одну из самых  известных  уязвимостей.  Были  посланы  эти эксплойты в компанию  Adobe и всего через несколько дней  было получено само подтверждение – что эти  эксплойты здесь  эксплуатируют 0-day уязвимость, которой и был присвоен здесь номер CVE-2014-0515. Уязвимость сама  находится в компоненте Pixel Bender,и  предназначена  для обработки здесь  видео и изображений.

Сампл  такого первого эксплойта был  получен  14 апреля, а второго 16 апреля. Срабатывание  на сам на первый эксплойт был  зафиксирован  в KSN 9 апреля, когда он здесь  задетектировался общей эвристической сигнатурой. Затем было  множество срабатываний, и которое  было отмечено 14 и 16 апреля. Таким вот  образом, с самой  помощью эвристик  удалось здесь  задетектировать здесь  неизвестную ранее угрозу. По самим  данным KSN, на зараженном сайте эти  эксплойты лежали под самими  именами movie.swf и include.swf. Оба этих  эксплойта различаются здесь только шелл-кодами. Стоит и нужно  отметить, что второй такой  обнаруженный эксплойт (include.swf) уже не детектировался самой  первоначальной эвристической сигнатурой, поскольку он здесь содержал уникальный шелл-код.   Каждый такой  эксплойт представляет здесь собой не запакованное Flash видео. Action Script  где сам код внутри не обфусцирован и не был зашифрован. Как это обычно и  бывает в таких  подобных эксплойтах, самом  вначале выполняется HeapSpray  то есть сама подготовка динамической памяти для самой эксплуатации уязвимости. Причём в таких  эксплойтах есть и  проверка самой  версии операционной системы если здесь  обнаружена Windows 8, то и применяется здесь слегка модифицированный сам  байт-код компонента Pixel Bender.                  Затем здесь  происходит непосредственно и сама эксплуатация уязвимости. Любопытно, что в  этих обоих эксплойтах присутствуют здесь  по два шелл-кода. Первый такой  шелл-код он  одинаковый в этих  обоих эксплойтах. Он очень  достаточно короткий и подготавливает саму память для успешной самой работы этого второго шелл-кода.

Фрагмент первого шелл-кода при отладке из WinDBG

В самом начале текущая память здесь  помечается доступной на само  чтение, исполнение и саму  запись с помощью API-функции VirtualProtect, а только затем с помощью VirtualAlloc выделяется  сама дополнительная память. В эту память и копируется сам  второй шелл-код и на него потом передаётся само  управление. Вызовы API-функций и сама передача управления на этот  второй шелл-код   Вторые сами шелл-коды у этих эксплойтов очень  значительно здесь  отличаются. У такого обнаруженного первым эксплойта (movie.swf) шелл-код здесь  типичный и он выполняет здесь поиск самих  системных библиотек в памяти, а затем потом  скачивает и запускает здесь полезную саму  нагрузку. К сожалению, на само  время нашего исследования потом сама ссылка оказалась уже неактивной.

Фрагмент этого  второго шелл-кода эксплойта movie.swf,  который выполняет здесь  загрузку и запуск самой  полезной нагрузки

В другом таком эксплойте include.swf второй шелл-код оказался самым  необычным. Он получает здесь  базовый адрес самой  библиотеки flash10p.ocx, где и  проводит в ней сам поиск определённых фрагментов и потом  взаимодействует с самим  плагином ‘ciscompeaddin5x0’- Cisco MeetingPlace Express Add-In версии 5x0. Этот сам  плагин здесь  используется для самого  совместного просмотра самими  участниками веб-конференции всяких  документов и изображений на мониторе самого  докладчика. Стоит и нужно  отметить, что если на самом  компьютере отсутствует хотя бы одна из этих таких программ (Adobe Flash Player ActiveX и Cisco MPE)   нужной здесь  версии, то этот сам  экплойт не отработает.

Фрагмент второго шелл-кода эксплойта include.swf

 Здесь судя по всему, часть самой  информации для  этого эксплойта include.swf передаётся здесь  извне. По самим  данным KSN referrer перехода на include.swf был указан  на другой SWF файл stream.swf. В то же самое  время referrer первого здесь эксплойта movie.swf указывал на index.php, который лежал  в той же самой  папке, что и эксплойты  Нам так и  не удалось точно здесь  установить саму  полезную нагрузку эксплойта include.swf, так как очень  не хватало самих  данных, которые были переданы  с лендинга и/или другим самим  эксплойтом. Мы здесь  уверены, что все эти сами ухищрения были сделаны здесь  для того, чтобы постараться  выполнять саму вредоносную саму  активность только у весьма  очень определённой группы самих пользователей, где  максимально они  незаметны  для защитных средств. Мы предполагаем, что сам  вышеупомянутый этот  плагин Cisco сможет здесь  использоваться как для самого  скачивания и исполнения полезной нагрузки, так и для самого прямого шпионажа за самим  компьютером жертвы.    Оба найденных нами эти два эксплойта распространялись с сайта. Этот сам  сайт был запущен в 2011 году самим Министерством юстиции Сирии и представляет здесь  собой онлайн-форму для самой отправки жалоб граждан на само  нарушение правопорядка. Мы здесь полагаем, что самой целью этой  атаки были сами  сирийские диссиденты,  которые выступали  против правительства.Сайт сам  уже был  взломан в сентябре 2013 года, о чем сообщил здесь предположительно сам хакер и сама   ссылка на эти эксплойты выглядит  здесь следующим образом: http://jpic.gov.sy/css/images/_css/***********. Когда мы заходили на сайт, обращений к папке “_css” не было. Мы предполагаем, что злоумышленники создали папку, имя которой, скорее всего, не выглядит подозрительно для администратора ресурса, и загрузили туда эксплойты. Вероятно, жертв перенаправляли на эксплойты с сам помощью фрейма или самого скрипта, расположенного на самом  сайте. На 24 апреля сего года  число самих  срабатываний наших продуктов на сами  эти эксплойты превысило уже  30. Срабатывания были  зафиксированы здесь  у 7 уникальных пользователей, и все они были  из Сирии, что здесь и  неудивительно, где учитывая саму специфику сайта. Любопытно, что все здесь  атакованные пользователи заходили на заражённый этот  сайт с помощью браузера  Mozilla Firefox  самых разных версий. Вероятно,  сама атака была очень  тщательно здесь  спланированной, и за ней тут  стоят сами  профессионалы достаточно самого  высокого уровня. Об этом здесь свидетельствует и само  использование  очень профессионально написанных 0-day эксплойтов, которыми и  был заражен здесь  единственный ресурс. Кроме всего  того, если  этот первый эксплойт здесь  вполне стандартный и может заразить практически самый любой незащищенный компьютер, то второй сам  эксплойт (include.swf) корректно здесь  отработает только у тех самих  пользователей, у которых установлены Adobe Flash Player 10 ActiveX и Cisco MeetingPlace Express Add-In. В качестве самого вектора атаки и  был здесь выбран сам  компонент Flash Player Pixel Bender, который уже здесь  не поддерживается Adobe. Вирусописатели здесь  рассчитывали на то, что сама  уязвимость в таком этом  компоненте не будет найдена самими  разработчиками, и это позволит самим  эксплойтам  как можно дольше оставаться здесь «рабочими». Все это здесь  говорит о том, что сами  злоумышленники ориентировались здесь  не на массового пользователя

источник  Лаборатория Касперского