В Adobe Flash Player обнаружена опасная 0day уязвимость

    Вчера мы писали про утечку конфиденциальных данных кибергруппы Hacking Team, которая подверглась масштабному взлому. В архиве находились исходные тексты нескольких 0day эксплойтов, в т. ч. LPE sandbox-escape эксплойт для веб-браузера Internet Explorer и опасный RCE+LPE эксплойт для актуальной версии Flash Player. Рабочая версия последнего уже гуляет по сети и представляет для пользователей очень большую опасность, поскольку эксплойт является универсальным и позволяет удаленно исполнять код сразу в нескольких браузерах (актуальные версии), включая, Google Chrome, Opera, MS Internet Explorer, и, даже, MS Edge в составе Windows 10.




    Рис. Исходные тексты эксплойта.


    Рис. Демонстрация успешности работы эксплойта для веб-браузера Opera на 32-битной версии Windows 7.


    Рис. То же самое для Google Chrome. Источник здесь.


    Рис. Эксплойт также прекрасно работает на новейшем веб-браузере MS Edge на Windows 10 (build 10162).


    Рис. Эксплойт прекрасно работает для IE11 на 64-битной up-to-date версии Windows 7 с включенным EPM.

    В данном случае наиболее опасное развитие ситуации будет заключаться в том, что этот эксплойт может попасть в состав одного или нескольких наборов эксплойтов и будет использован злоумышленниками для организации drive-by атак с автоматической установкой вредоносных программ.

    Мы рекомендуем пользователям отключить Flash Player для используемого вами браузера до выхода соответствующего исправления со стороны Adobe. Инструкции по этому процессу можно найти здесь.

    UPD: Компания Symantec также подтвердила актуальность этого 0day эксплойта.
    Leaked Flash zero day likely to be exploited by attackers
    www.symantec.com/connect/blogs/leaked-flash-zero-day-likely-be-exploited-attackers

    Пользователи могут использовать EMET для блокирования активности этого эксплойта.
    www.kb.cert.org/vuls/id/561288

    UPD1: Уязвимости присвоен идентификатор CVE-2015-5119 (Windows, Linux, OS X). См. Security Advisory for Adobe Flash Player (APSA15-03)
    helpx.adobe.com/security/products/flash-player/apsa15-03.html



    UPD2: Антивирусные продукты ESET обнаруживают эксплойт как SWF/Exploit.Agent.IG.
    virusradar.com/en/update/info/11902

    image
    be secure.
    ESET NOD32 148,27
    Компания
    Поделиться публикацией
    Комментарии 24
    • +14
      И сколько таких «скрытых» эксплоитов существует (используется), можно только догадываться. За информацию спасибо.
      • 0
        poc не срабатывает на 8.1
        Говорит FindVP() Error: can't find MZ from 0x5ae066f8
        • +5
          Ну вот, как обычно:

          Flash: LNX 18,0,0,194 x86-64 PlugIn
          OS: Linux 64-bit
          Browser:
          ===== start =====
          MyClass.valueOf()
          _ba[3] = 0
          v.length = 0x400003f0
          todo: unsupported x64 os
          v.length = 0x400003f0
          ===== end =====

          Его надо скомпилировать да?
          • +5
            Достаточно поглядеть в сорцы, чтобы увидеть, что линуксы не поддерживаются.

            if (MyUtils.isWin()) {
            	if (ShellWin64.Init(v, 0x1000, mc, k-8)) ShellWin64.Exec() else logAdd("Fail.");
            }else
            if (MyUtils.isMac()) {
            	if (ShellMac64.Init(v, 0x1000, mc, k-8)) ShellMac64.Exec() else logAdd("Fail.");
            }else
            	logAdd("todo: unsupported x64 os");
            


            При этом вполне возможно, что уязвимость есть и у них. Интересно, заработает ли на Mac OS или как оно там теперь называется.
            • +1
              Называется OS X. Тоже интересно. Вроде, как исходники говорят запустить Шел, если ОС Mac. Но, все же, OS X unix-подобная система, подобна до линукса, и все системные изменения требуют root прав… С другой стороны, сам факт запуска шел уже напрягает… Дальше можно много наворотить.
              Сколько слежу за Adobe Flash, столько и вижу дыр… Когда уже он отойдет в прошлое…
              • –3
                Угу, но, к сожалению, до сих пор есть всякие штуки, для которых одного JS не хватает. То же копирование в буфер, например.
                • +1
                  Сам браузер, обрабатывающий html и выполняющий js может быть также уязвим. Дело тут не в самом флеше, а в странном стечении обстоятельств, что всякая фигня, типа браузеров и их плагинов, до сих пор выполняется со слишком высокими правами. Хотя, механизмы урезания прав либо уже присутствуют в нужном виде, либо требуют минимальной доработки.
                • +2
                  У меня не заработало ни в одном браузере. Стоят все последние обновления, но это вроде как в порядке вещей.
                  Во всех браузерах одно и то же:

                  Flash: MAC 18,0,0,194 x86-64 PlugIn
                  OS: Mac OS 10.10.4 64-bit
                  Browser:
                  ===== start =====
                  MyClass.valueOf()
                  _ba[3] = 64
                  TryExpl() Error: can't cause UaF
                  ===== end =====
                • 0
                  Это Chrome? Уж очень версия подозрительная.
                  • 0
                    Да, это chrome. Впрочем, из FF не лучше:

                    Flash: LNX 11,2,202,468 x86-64 PlugIn
                    OS: Linux 3.16.0-4-amd64 64-bit
                    Browser:
                    ===== start =====
                    MyClass.valueOf()
                    _ba[3] = 0
                    v.length = 0x400003f0
                    todo: unsupported x64 os
                    v.length = 0x400003f0
                    ===== end =====

                    Можно, конечно, попробовать код покопать…
                • +5
                  Задолбало! Всякие плагины должны работать с порезанными правами. А правда должны резаться на уровне ОС, средствами типа AppArmor. И тогда пофигу на их дыры и на всякие песочницы браузеров.
                  • +5
                    Э, почему плагины? Чем браузер лучше, чтобы ему права давать? Пускай тоже в песочнице сидит.
                    • +1
                      И браузер тоже. В отдельной своей песочнице.
                      • –2
                        Потому что без броузера Интернет, не имеет никакого смысла. Потому что внедрить вирус через голый HTML практически невозможно. Потому что JS не имеет прямого доступа к файловой системе.
                        В отличие от вредоносного и назойливого Adobe Flash Player. Который на сегодняшний день нужен исключительно для игрушек, показа рекламы и распространения всякой заразы.

                        Слава Джобсу! Он положил начало конца этой гадости.
                        • +1
                          84% обнаруженных уязвимостей в прошлом году в мобильных OS найденно именно в iOS. Продолжайте петь оды вору чужих идей дальше.

                          upd: Это по данным Symantec
                    • +5
                      Joe Chip ‏ @j0echip 15 часов назад
                      @w3bd3vil so that's Chrome running without sandbox, right?
                      webDEViL ‏ @w3bd3vil 14 часов назад
                      @j0echip yes, ofcourse!

                      В Хроме эксплойт без отключения сандбокса не работает. Так что можно спокойно ждать апдейта.
                    • +6
                      Хорошо что существуют FlashControl, FlashBlock, etc. А то понавыдумывали дыр дополнительных; будто их и так мало (:
                      • +2
                        esetnod32 Выложили бы в общий доступ со своего сайта проверку на работоспособность уязвимости, чтобы каждый мог проверить уязвим ли. И опять рекомендация использовать на EMET. Ну используем, а дальше что? Специальных правил для FlashPlayer в комплекте с EMET нет. Настройки Recomended Security Settings достаточно?
                        esetnod32 У вас очень плохой фидбек на этом ресурсе. А могли бы и не просто копипасту выкладывать (хоть и полезную), но и собственные советы.
                        • 0
                          Хм.
                          Flash: WIN 18,0,0,194 x86-32 PlugIn
                          OS: Windows 8.1 32-bit
                          Browser:

                          дальше ничего не определилось. При нажатии на кнопку Run calc.exe флеш крашится: Shockwave Flash has crashed.
                          Chrome 43.0.2357.130 m
                          • 0
                            Windows 8.1: Ни в Chrome (43.0.2357.130 m (64-bit)), ни в IE 11 не заработало.
                            • 0
                              На сайте уже есть обновление до версии 18.0.0.203.
                              • +1
                                Adobe за 48 часов пофиксили. Это столько же, сколько у Facebook заняло устранение проблем с авторизацией на сайт.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое