Во Flash устранен опасный баг, уже используемый в атаках - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

Все инфопродукты и приватная информация бесплатно

Вернуться   Proxy-Base Community - Анонимность и безопасность в интернете. > Proxy-Base - Information > Новости IT

Ответ
 
LinkBack Опции темы Поиск в этой теме Опции просмотра
Старый 06.12.2018, 20:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 775
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Во Flash устранен опасный баг, уже используемый в атаках

Компания Adobe в экстренном порядке обновила Flash Player, закрыв уязвимость нулевого дня, которая уже засветилась в целевой атаке. Согласно бюллетеню, брешь CVE-2018-15982 возникла из-за ошибки использования освобожденной памяти и грозит исполнением произвольного кода в контексте текущего пользователя.

Уязвимости подвержен Flash Player выпусков 31.0.0.153 и ниже. Пользователям продукта рекомендуется как можно скорее обновить его на всех платформах до сборки 32.0.0.101.

Заодно Adobe устранила брешь в инсталляторе Flash Player, которую она оценила как существенную. Эта уязвимость (CVE-2018-15983) позволяет подменить DLL-библиотеку, загружаемую при запуске плеера, и повысить таким образом привилегии вредоносного варианта. Исключить угон DLL поможет установка релиза 31.0.0.122 инсталлятора (на Windows), который можно скачать из центра загрузок вместе с пропатченным Flash Player или получить в обычном порядке через встроенный механизм обновления.

Уведомление об эксплойте нулевого дня Adobe получила 29 ноября — отчет подали сразу несколько исследователей, в том числе из китайской компании Qihoo 360 и калифорнийской Gigamon. Анализ показал, что используемый в целевых атаках вредоносный rar-архив содержит документ-приманку в формате .docx и файл scan042.jpg с финальной полезной нагрузкой.

Копии камуфляжного документа обнаружились также на VirusTotal — файлы 22.docx и 33.docx были загружены для проверки с одного и того же украинского IP-адреса. Их содержимое одинаково и включает русскоязычную анкету сотрудника московской ведомственной поликлиники со скрытым объектом Flash, нацеленным на эксплойт CVE-2018-15982.

Имитация атаки в лабораторных условиях показала, что открытия документа достаточно для запуска эксплойта и целевого зловреда. Правда, защита Microsoft Word предупреждает пользователя, что встроенный контент может оказаться вредоносным. Если тот согласится продолжить, произойдет исполнение команды на извлечение файла scan042.jpg и запуск содержащегося в нем backup.exe — кастомного трояна с функциями бэкдора.

Вредоносный код подписан краденым сертификатом, выданным британской транспортной компании (он уже отозван). Зловред прежде всего проверяет наличие антивируса в системе — от F-Secure, Panda, ESET, Avira, Bitdefender, Symantec (Norton) или «Лаборатории Касперского». Обнаружив соответствующие файлы или процессы, он использует функциональность самоуничтожения.

В противном случае троян копирует себя в папку %LocalAppData%, выдавая копию за панель управления NVIDIA, и добавляет в реестр ключ для запуска своего кода при каждом входе пользователя в систему.

При первом подключении к центру управления зловред отсылает шифрованную по base64 информацию о зараженной системе — через запрос HTTP POST. Судя по IP-адресу, командный сервер злоумышленников расположен в Румынии.

Источник: https://threatpost.ru/adobe-patches-...ted-itw/29586/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Sofacy использовала в атаках новый зловред Cannon Proxy-Base-News Новости IT 0 22.11.2018 20:10
Свежий баг MS Word нашел применение в реальных атаках Proxy-Base-News Новости IT 0 13.11.2018 22:20
Маршрутизаторы Ubiquiti Networks атакует опасный червь Proxy-Base-News Новости IT 0 21.05.2016 11:20
В Google Play обнаружен опасный троян Viking Horde Proxy-Base-News Новости IT 0 10.05.2016 22:30
VMware патчит опасный баг, связанный с обработкой сессий Proxy-Base-News Новости IT 0 20.04.2016 11:30




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.