В VirusTotal обнаружен вредоносный документ Word, содержащий экплоит для данной уязвимости.
Компания Adobe во внеочередном порядке выпустила патчи, устраняющие в том числе уязвимость нулевого дня (CVE-2018-15982) в Flash Player, которая позволяет выполнить произвольный код и повысить привилегии на атакуемой системе. Уязвимость затрагивает версии 31.0.0.153 и более ранние Adobe Flash Player Desktop Runtime, Adobe Flash Player для Google Chrome; Adobe Flash Player для Microsoft Edge и Internet Explorer 11, а также версии Adobe Flash Player Installer 31.0.0.108 и ниже. В минувшем месяце специалисты компаний Gigamon (ранее ICEBRG) и Qihoo 360 Core Security обнаружили в сервисе VirusTotal вредоносные документы Microsoft Office, содержащие эксплоит для данной уязвимости. Код был встроен в Flash Active X объект в документе Word, оформленном в виде заявления о приеме на работу в одну из российских государственных клиник.
При исполнении элемента Flash Active X код повышал свои права и получал доступ к системе, а затем устанавливал простой бэкдор. По данным экспертов, вредоносный документ был загружен на VirusTotal с украинского IP-адреса спустя несколько дней после инцидента в Керченском проливе. В настоящее время неизвестно, использовались ли эти документы в реальных атаках, также неясно, кто загрузил их на VirusTotal, – жертвы или разработчик, использующий украинский VPN. Стоит отметить, что обе компании указывают на сходство вредоносного кода с эксплоитами, созданными итальянским вендором HackingTeam, чьи наработки утекли в 2015 году в результате взлома компьютерной сети.
Помимо вышеуказанной проблемы, Adobe также исправила уязвимость повышения привилегий (CVE-2018-15983), которую можно проэксплуатировать путем подмены DLL-библиотеки.
