Опубликованы подробности атаки с использованием уязвимости в Flash Player


FireEyeFireEye опубликовала в блоге компании статью с подробностями проведения атаки с использованием уязвимости нулевого дня в Adobe Flash Player. Напомним, уязвимость CVE-2016-4117 затрагивает версии Adobe Flash 21.0.0.226 и более ранние.

Согласно докладу экспертов, эксплоит к Flash Player был встроен в документ Microsoft Office, который размещался на стороннем web-сервере. Злоумышленники использовали DDNS (Dynamic DNS) для обращения к файлу с вредоносным кодом. Ссылки, ведущие на документ с эксплоитом, рассылались в рамках фишинговой кампании, нацеленной на пользователей пакета Microsoft Office и ОС Windows.

После того, как жертва откроет документ, эксплоит загружал код с web-сервера и выполнял его на системе. При этом сценарий атаки выглядел следующим образом:

  • Жертва открывает файл Microsoft Office;
  • Документ Microsoft Office подгружает встроенный Flash-файл. Если версия Adobe Flash ниже 21.0.0.196, атака прекращается;
  • Эксплоит запускает встроенный шелкод, который в свою очередь загружает и выпоняет второй шелкод с web-сервера атакующего;
  • Второй шелкод загружает и выполняет вредоносное ПО, а также измененный документ Office, для отображения контента в файле и сокрытия подозрительной деятельности;
  • Вредоносное ПО подключается к C&C серверу и ожидает дальнейшие инструкции.


Подобный сценарий атаки является довольно распространенным. Здесь основной целью злоумышленников является установка вредоносного ПО на систему жертвы с последующим управлением скомпрометированным компьютером посредством C&C сервера. В настоящее время данная угроза весьма актуальна, т.к. исправление к уязвимости вышло всего несколько дней назад.

Чтобы не стать жертвой киберпреступников ИБ-специалисты настоятельно рекомендуют в кратчайшие сроки установить исправление безопасности, а также использовать EMET в качестве превентивной меры против неисправленных уязвимостей.


Обновлено (16.05.2016 23:48)