Новая возможность блокировки «zero-day»

Новая возможность блокировки «zero-day»

Для пользователей Adobe Reader и Acrobat, работающих в системе Windows, разработано новое решение, позволяющее блокировать атаки, нацеленных на «zero-day» -уязвимость. Компании Microsoft и Adobe Systems представили последнюю версию EMET 2.0.  

Как известно, в Adobe Reader и Acrobat была обнаружена «zero-day» - уязвимость. В пятницу, компании представили обновленную версию программы Enhanced Mitigation Experience Toolkit (EMET 2.0), которая позволяет блокировать выполнение вредоносного кода.

Совместно с анонсом был опубликован отчет, в котором сообщалось, что  данный эксплойт мог обходить функцию предотвращения выполнения данных (DEP), используя методы возвратно-ориентированного программирования (ROP).

Как пояснили в своем блоге эксперты в области безопасности компании Microsoft, обычно, функция случайного распределения памяти (ASLR), может предотвратить выполнение вредоносного кода. Однако, эксплойт работает с библиотекой DLL (icucnv36.dll), которой не нужно включения ASLR, а без включенной ASLR, библиотека DLL всегда будет загружена по определенному адресу и вредоносный код  может быть запущен в любой момент. Принцип действия EMET 2.0 заключается в том, что при запуске программы, активируется случайное распределение памяти (ASLR) и экспортируется адресная таблица фильтрации доступа, в результате чего блокируется выполнение вредоносного кода.

Компания Adobe не стала вдаваться в подробности по технической части уязвимости. Однако, по мнению компании Secunia, уязвимость в Reader и Acrobat возникла из-за «граничной ошибки в библиотеке CoolType.dll, когда обрабатывается значение поля  'uniqueName' в таблице шрифтов… Ошибка может быть использована, чтобы вызвать стековое переполнения буфера, например, при открытии вредоносного PDF файла, содержащего специально сформированный встроенный шрифт».

Microsoft и Adobe так же сообщили, что EMET прошла предварительные тесты, и предложили пользователям, провести самостоятельное тестирование на своих системах.

Adobe планирует выпустить обновление, но когда это произойдет не известно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Провайдер анти-DDoS подвергся атаке в 1,5 Gpps

Команда FastNetMon зафиксировала мощнейшую DDoS-атаку по своей клиентской базе. Мусорный поток, вздувшийся до 1,5 млрд пакетов в секунду (Gpps), был оперативно погашен с использованием профильного сервиса мишени.

Защитный продукт британской разработки в реальном времени задетектил направленный на сайт UDP flood, и пользователь сразу получил представление об интенсивности и распределении стремительно растущего трафика.

Охранник FastNetMon автоматически выполнил перенаправление на центр очистки (с DDoS-фильтрами, схожими с DPI), который по воле случая принадлежит атакованному клиенту — одному из ведущих поставщику таких услуг в Западной Европе.

Были также приняты дополнительные меры — организована ACL-защита на пограничных маршрутизаторах. В результате атака захлебнулась, не успев навредить охраняемому сервису.

По данным защитников, вредоносный поток, на пике достигший 1,5 Gpps, исходил из 11 тыс. сетей, расположенных в разных странах. В DDoS-атаке в основном принимали участие зараженные IoT-устройства и роутеры MikroTik.

 

В прошлом месяце Cloudflare зафиксировала еще более мощный DDoS-флуд — до 5,1 Gpps. Провайдер пообещал опубликовать результаты анализа; новых записей на эту тему пока не появилось.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru