A FireEye descobriu novas explorações de dia-zero no Adobe Flash e no Microsoft Windows, que provavelmente foram usadas por uma campanha de espionagem cibernética russa generalizada..

Ambas as explorações foram delineadas pela FireEye no fim de semana em um relatório que acusa o grupo avançado de ameaças persistentes (APT) conhecido como APT28 que opera fora da Rússia de explorar as duas vulnerabilidades..

Os invasores podem aproveitar a exploração do Flash (CVE-2015-3043) quando uma vítima clica em um link para um site mal-intencionado controlado por invasores. Uma vez em um site, uma página do lançador HTML.JS exibe a exploração do Flash e, em seguida, aciona o CVE-2015-3043 que executa o shellcode e executa uma carga útil executável em um sistema Windows. Essa carga, em seguida, aciona a falha do Windows não relatada anteriormente, CVE-2015-1701, que é capaz de roubar tokens do sistema.

Essa mesma falha do Windows é uma vulnerabilidade de escalonamento de privilégio local que executa um retorno de chamada usando a falha para roubar dados do processo do Sistema antes de executar o código usando privilégios escalados. Os invasores podem modificar seus tokens do sistema roubados para ter exatamente os mesmos privilégios que o processo do Sistema..

Existe uma correção?

A FireEye reportou o APT28 pela primeira vez em outubro e vinculou a campanha atual a eles, explicando que a exploração traz variantes de malware semelhantes a backdoors APT28 de famílias de malware que empregou no passado..

A Microsoft está atualmente trabalhando em uma correção para a vulnerabilidade que não afeta o Windows 8 ou posterior e os usuários do Adobe Flash devem atualizar para a versão mais recente do software para evitar que surjam problemas.

  • Confira: O melhor software antivírus de 2015