Обнаружена новая 0day уязвимость CVE-2014-0515 в Flash Player

Adobe Systems в понедельник выпустила обновление для ее широко распространенного программного продукта Flash Player, где исправляется ранее выявленная 0day уязвимость CVE-2014-0515. Уязвимость может позволить хакерам получить контроль над целевыми компьютерами, причем багу подвержены версии Flash Player под все поддерживаемые операционные системы, в частности Windows, Mac и Linux. Баг находится в компоненте Pixel Bender, предназначенном для обработки видео и изображений.

Рассматриваемый баг впервые был обнаружен «Лабораторией Касперского» еще в середине апреля, при чем, эксплойт обнаружили на сайте Министерства Юстиции Сирии (jpic.gov.sy). Позже были скомпрометированы и несколько гражданских серверов и форумов. Других случаев атак с использованием данной уязвимости зафиксировано не было.

«Мы полагаем, что атака была изначально создана для сирийских диссидентов», — говорит Вячеслав Закоржевский, специалист «Лаборатории Касперского». По его словам, данный тип атаки относится к нападениям класса «watering-hole», когда хакеры заражают сайты, к которым обращаются пользователи и атакующий код выявляет целевые системы во время подключения.

«Семпл первого эксплойта мы получили 14 апреля, а второго 16 апреля. Таким образом, с помощью эвристик нам удалось задетектировать неизвестную ранее угрозу. На зараженном сайте эксплойты лежали под именами movie.swf и include.swf. Оба эксплойта различаются только шелл-кодами», — говорит Закоржевский.

Атака была тщательно спланированной, и за ней стоят профессионалы достаточно высокого уровня. Об этом свидетельствует использование профессионально написанных 0day эксплойтов, которыми был заражен единственный ресурс. Кроме того, если первый эксплойт вполне стандартный и может заразить практически любой незащищенный компьютер, то второй эксплойт (include.swf) корректно отработает только у тех пользователей, у которых установлены Adobe Flash Player 10 ActiveX и Cisco MeetingPlace Express Add-In. В качестве вектора атаки был выбран компонент Flash Player Pixel Bender, который уже не поддерживается Adobe. Вирусописатели рассчитывали на то, что уязвимость в таком компоненте не будет найдена разработчиками, и это позволит эксплойтам дольше оставаться «рабочими».