FireEye опубликовала подробности атаки с использованием уязвимости в Flash Player

Компания FireEye опубликовала в своем блоге подробности атаки с использованием уязвимости нулевого дня в Adobe Flash Player. Уязвимость CVE-2016-4117 затрагивает версии Adobe Flash 21.0.0.226 и более ранние.

Эксперты сообщили, что эксплоит к Flash Player был встроен в документ Microsoft Office, размещенный на стороннем web-сервере. Злоумышленники использовали DDNS (Dynamic DNS) для обращения к файлу с вредоносным кодом. Ссылки на документ с эксплоитом рассылались в рамках фишинговой кампании, нацеленной на пользователей пакета Microsoft Office и ОС Windows.

Техническое описание атаки

После открытия документа жертвой, эксплоит загружал код с web-сервера и выполнял его на системе жертвы. Сценарий атаки выглядел таким образом:

1. Жертва открывает файл Microsoft Office
   Документ Microsoft Office подгружает встроенный Flash-файл. Если версия Adobe Flash ниже 21.0.0.196, атака прекращается.
2. Эксплоит запускает встроенный шелкод. Шелкод загружает и выпоняет второй шелкод с web-сервера атакующего.
3. Второй шелкод загружает и выполняет вредоносное ПО, а также измененный документ Office, для отображения контента в файле и сокрытия подозрительной деятельности.
4. Вредоносное ПО подключается к C&C серверу и ожидает дальнейшие инструкции.

Подобный сценарий атаки является довольно распространенным. Основная цель злоумышленников – установить вредоносное ПО на систему жертвы и управлять скомпрометированным компьютером посредством C&C сервера. Эта угроза весьма актуальна в настоящее время, поскольку исправление к уязвимости вышло только несколько дней назад.

Редакция SecurityLab рекомендует всем пользователям установить исправление безопасности в кратчайшие сроки, а также использовать EMET в качестве превентивной меры против неисправленных уязвимостей.