FireEye ha scoperto nuovi exploit zero-day sia in Adobe Flash che in Microsoft Windows che probabilmente sono stati utilizzati da una diffusa campagna di spionaggio cibernetico russo.

Entrambi gli exploit sono stati delineati da FireEye durante il fine settimana in un rapporto che accusa il gruppo avanzato di minacce persistenti (APT) noto come APT28 che opera fuori dalla Russia per sfruttare le due vulnerabilità.

Gli aggressori possono sfruttare l'exploit Flash (CVE-2015-3043) quando una vittima fa clic su un collegamento a un sito Web malevolo controllato da aggressori. Una volta su un sito, una pagina di avvio HTML.JS serve l'exploit di Flash e quindi attiva CVE-2015-3043 che esegue shellcode ed esegue un payload eseguibile su un sistema Windows. Tale payload innesca quindi il difetto di Windows, non segnalato precedentemente, CVE-2015-1701, che è in grado di rubare i token di sistema.

Quello stesso difetto di Windows è una vulnerabilità di escalation dei privilegi locali che esegue una callback usando il difetto per rubare i dati dal processo di sistema prima di eseguire il codice usando i privilegi escalation. Gli attaccanti possono quindi modificare i loro token di sistema rubati per avere gli stessi identici privilegi del processo di sistema.

C'è una soluzione?

FireEye ha riferito per la prima volta su APT28 in ottobre e ha collegato la campagna corrente a loro spiegando che l'exploit porta varianti di malware simili alle backdoor APT28 dalle famiglie di malware che ha utilizzato in passato.

Microsoft sta attualmente lavorando a una correzione per la vulnerabilità che non influisce su Windows 8 o versioni successive e gli utenti di Adobe Flash devono aggiornarsi alla versione più recente del software per evitare che si verifichino problemi.

  • Dai un'occhiata: il miglior software antivirus del 2015