08.07.2015 08:35
esetnod32 15 20054 Источник
Вчера мы опубликовали сведения о новой очень опасной уязвимости в Adobe Flash Player (Hacking Team RCE Flash Player 0day), которая может использоваться атакующими для удаленного исполнения кода и установки вредоносных программ на всех популярных браузерах, включая, MS IE, MS Edge (Windows 10), Google Chrome, Opera, Mozilla Firefox, причем, эксплойт поддерживает также и ОС Apple OS X. Тогда же мы указали, что злоумышленники смогут воспользоваться этой уязвимостью в своих целях. Наши прогнозы оправдались в полной мере, авторы самых распространенных наборов эксплойтов уже добавили его в свой арсенал и используют для проведения атак drive-by download.



Вчера компания Adobe выпустила уведомление безопасности APSA15-03, в котором указывается, что уязвимости присвоен идентификатор CVE-2015-5119 и она затрагивает Flash Player на платформах Windows, Linux и OS X. Также Adobe указала дату выхода исправления — 8 июля, т. е. сегодня.

Наши антивирусные продукты обнаруживают эксплойт для этой уязвимости как SWF/Exploit.Agent.IG и SWF/Exploit.ExKit.AX. Действие эксплойта также может быть заблокировано с использованием EMET, о котором мы неоднократно писали ранее.

Эксплойт для CVE-2015-5119 был добавлен, как минимум, в такие наборы эксплойтов как Angler, Neutrino и Nuclear Pack. По данным исследователя набора эксплойтов kafeine, они распространяют различные модификации эксплойта со следующими идентификаторами.

SHA256: aff5d2b970882786538199553112edbfe6f14e945374aa88cac6d34bec8760ca
www.virustotal.com/ru/file/aff5d2b970882786538199553112edbfe6f14e945374aa88cac6d34bec8760ca/analysis/1436307118

SHA256: 4464720e2a849f42c7ed827901330bb2fa7d219c22e57d96db894013810705d8
www.virustotal.com/ru/file/4464720e2a849f42c7ed827901330bb2fa7d219c22e57d96db894013810705d8/analysis/1436309989

SHA256: 7b7141d59d4e07f7f958acac137ccfec105d046732de65e128a07bbf5f0a0baa
www.virustotal.com/ru/file/7b7141d59d4e07f7f958acac137ccfec105d046732de65e128a07bbf5f0a0baa/analysis/1436310916

Нужно отметить, что по сети уже начала гулять работоспособная версия 0day LPE эксплойта для up-to-date версии Windows 8.1 (atmfd.dll) (архив Hacking Team), которая может использоваться злоумышленниками для повышения привилегий во вредоносных программах или для обхода sandbox в IE.

Мы настоятельно рекомендуем пользователям отключить Flash Player для используемого браузера до выхода исправления со стороны Adobe. Инструкции по этому процессу можно найти здесь.

UPD: Уязвимость закрыта обновлением APSB15-16.
helpx.adobe.com/security/products/flash-player/apsb15-16.html

image
be secure.

Комментарии (15)


  1. JKornev
    08.07.2015 11:59
    #8490761
    +7

    Видимо рак на горе свистнет раньше чем во Flash закончатся RCE уязвимости


  1. navion
    08.07.2015 12:34
    #8490821

    Исправили в 18.0.0.203:
    www.adobe.com/products/flashplayer/distribution3.html


    1. navion
      08.07.2015 12:41
      #8490845

      Либо 18.0.0.205, в релизнотах точных данных про исправленные уязвимости нет:
      forums.adobe.com/thread/1893403

      Там же появилась версия с PPAPI, так что Flash Player из Chrome никуда не денется.


  1. Egor3f
    08.07.2015 12:35
    #8490823
    +1

    Да, Flash — то ещё решето.
    Я ещё вчера отключил его в хроме, но один из сайтов, на котором мне понадобилось посмотреть видео, отказывался его воспроизводить пол предлогом «установите flash player», при этом на iPad тот же сайт открывался нормально и подгрузил HTML5 плеер. Чем они руководствуются вообще? Поддержка старых версий IE, или просто им наплевать? (Сайт одного малопопулярного телеканала)
    Интересно открыть тот же сайт из-под FF под Linux, что-то мне подсказывает, что меня ждёт неудача.


  1. ScREW
    08.07.2015 12:45
    #8490857
    +1

    Попробовал проэксплоитить свой Chrome.

    Flash: WIN 18,0,0,194 x86-32 PlugIn
    OS: Windows 7 32-bit
    Browser:
    ===== start =====
    MyClass.valueOf()
    _ba[3] = 0
    v.length = 0x400003f0
    v[0] address = 0x8905008
    x32[] object = 0x8a25bc8
    x32[] data = 0x8d56988
    VirtualProtect() address = 0x74f14317
    Payload() object = 0x967a490
    CreateProcessA() returns 0 (in sandbox)
    v.length = 0x3f0
    ===== end =====

    Но в Process Explorer calc.exe не наблюдаю. Что я делаю не так?


    1. 0xA0
      08.07.2015 13:09
      #8490895
      +2

      я не уверен, но не в песочнице ли дело?


    1. ForhaxeD
      08.07.2015 14:12
      #8491025

      А есть какая-нибудь страничка, где можно проэксплойтить?


      1. Disen
        08.07.2015 15:35
        #8491193
        +1

        Вот тут можно скачать сам PoC-exploit.
        Здесь я закинул его для себя на поиграться. Но не обещаю, что буду долго это дело деражать у себя.


        1. qwerty1023
          08.07.2015 16:41
          #8491319

          Тут работает

          Скрытый текст
          Flash: WIN 11,7,700,169 x86-32 PlugIn
          OS: Windows XP 32-bit
          Browser: Netscape, Win32, Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0
          ===== start =====
          MyClass.valueOf()
          _ba[3] = 0
          v.length = 0x400003f0
          bad MyClass2 allocation.
          MyClass.valueOf()
          _ba[3] = 0
          v.length = 0x400003f0
          v[0] address = 0xe33d008
          x32[] object = 0xe8f9cb8
          x32[] data = 0xb70ad70
          VirtualProtect() address = 0x7c801ad4
          Payload() object = 0xfb16400
          CreateProcessA() returns 1
          v.length = 0x3f0
          ===== end =====


        1. qwerty1023
          08.07.2015 16:51
          #8491331

          С самым новым флешем не работает и без песочницы

          Скрытый текст
          Flash: WIN 18,0,0,203 x86-32 PlugIn
          OS: Windows 7 64-bit
          Browser: Netscape, Win32, Mozilla/5.0 (Windows NT 6.1; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0
          ===== start =====
          MyClass.valueOf()
          _ba[3] = 64
          TryExpl() Error: can't cause UaF
          ===== end =====


  1. navion
    08.07.2015 17:02
    #8491339

    Windows Defender начал определять и блокировать эксплоит.


    1. agranom555
      08.07.2015 21:52
      #8491699

      Подтверждаю (windows 10)


    1. Haoose
      11.07.2015 18:42
      #8494663

      Eset тоже
      image


  1. 3StYleR
    08.07.2015 22:05
    #8491725
    +1

    Мы настоятельно рекомендуем пользователям отключить Flash Player для используемого браузера до выхода исправления со стороны Adobe.

    Тогда его и включить никогда не получится, ибо уязвимостей в Flash Player — море.


    1. ScREW
      23.07.2015 09:41
      #8511609

      Их море, только никто не может это море найти. Все эксплоит-киты используют 2-3 эксплоита найденных за последние 3 года. И ещё 2-3 эксплоита JVM-плагина. И при этом, пробиваемость хорошего кита — 6-10%. (RIG, Neutrino Waves, Angler, ...) Если найдёшь хотя бы парочку 0-day уязвимостей во Flash Player и удачно продашь их создателям китов, то за каждый из них можешь выручить 50-100 тыс USD. Подумай на эту тему.