Готовимся распроститься с Flash

08.12.2015 | 11:02
Если единодушие вообще когда-либо возможно в ИБ-сообществе, то яркий пример тому — негативное отношение к Adobe Flash Player. Редкая APT- или эксплойт-кампания не использует уязвимости в этом популярном продукте для хищения интеллектуальной собственности, промышленных секретов, паролей, данных кредитных карт. Эта затянувшаяся ситуация испытывает терпение «айтишников», посему неудивительны все более частые призывы отправить Flash Player на свалку истории.

«Flash — наглядный пример той проблемы, которая может возникнуть при упорной ротации унаследованного кода, — заявил Коди Пирс (Cody Pierce), руководитель исследований Endgame в отношении уязвимостей. — Flash предоставляет пользователям богатую среду для разработки, но стремление к расширению возможностей неизбежно влечет снижение надежности. В таких случаях волей-неволей приходится сохранять поддержку унаследованных файловых форматов, что приводит к ситуации, когда у злоумышленника оказывается практически безграничная площадь атаки: видео, аудио, изображения, разные протоколы и богатейший язык программирования сценариев в лице ActionScript. Это готовые возможности для эксплуатации и поиска уязвимостей».

На прошлой неделе Adobe сделала один из первых шагов к отходу от Flash и обращению к HTML5 — возможно, для Flash это прозвучало как первые ноты лебединой песни. Разработчик объявил о переименовании Flash Professional CC в Animate CC, который появится в начале будущего года; Adobe прочит ему роль головного инструмента для создания HTML5-контента. «Наши клиенты дали ясно понять, что ждут совершенствования пакета Creative Suite в направлении расширения списка поддерживаемых стандартов, и мы готовы удовлетворить эти потребности», — заявили представители компании в своем анонсе.

Компания не хочет сразу списывать Flash и продолжит выпускать патчи и обновления функциональности, а также взаимодействовать с вендорами браузеров Microsoft, Mozilla и Google с целью уменьшения рисков. Тем не менее эксперты ожидают, что при наличии огромного количества унаследованных приложений и веб-контента, полагающихся на Flash, это решение Adobe вызовет некий резонанс.

«Основной посыл этого заявления в том, что ситуация еще долго не изменится, — комментирует Майк Хэнли (Mike Hanley), руководитель исследований и разработок Duo Security. — В лучшем случае это признание того, что Flash утратит роль доминирующей интернет-платформы, однако в отсутствие четких планов и регламента по его упразднению многие унаследованные приложения и веб-контент будут и впредь полагаться на такие изначально проблемные платформы, как Flash, стремясь завоевать как можно большую аудиторию».

Тем временем Flash остается лакомой целью для злоумышленников всех мастей. Adobe его латает месяц за месяцем, регулярные патчи раздаются десятками, участились и экстренные обновления из-за атак на уязвимости 0-day. Один такой случай произошел минувшим летом, когда обнаружилось, что известный торговец ПО для слежки давно взял на вооружение несколько брешей нулевого дня во Flash, даже не подумав поставить в известность Adobe. Притом Hacking Team — не единственная компания, стремящаяся нажиться на слабости Flash. Так, едва появившись на рынке 0-day, отпрыск VUPEN по имени Zerodium объявил, что будет выплачивать по $50–80 тыс. за новые, неизвестные уязвимости во Flash.

«С учетом того, что огромное количество юзеров до сих пор используют уязвимые медиаплееры, у злоумышленников всегда есть универсальный вектор для вторжения, — подчеркивает Ник Бухгольц (Nick Buchholz), старший специалист по сетевой безопасности из Damballa. — Анонс Adobe не способен приостановить разработку эксплойтов для Flash, они долго еще будут востребованными, и спрос на такие творения вирусописателей вряд ли упадет».

Пока Adobe борется за доброе дело, ее партнеры Google и Mozilla уже приняли меры к пресечению автоматической загрузки и запуска эксплойтов в браузерах Chrome и Firefox. «Думаю, постепенный отказ от Flash будут по-прежнему стимулировать те сторонние компании и рабочие группы, чьи пользователи наиболее часто сталкиваются с эксплойтом при содействии Flash», — полагает Хэнли, представляющий точку зрения Duo.

Итак, судя по отзывам экспертов, стоит ожидать, что предпочтения хакеров по-прежнему будут отданы кросс-платформенным решениям вроде Flash и Java. Такой эксплойт можно написать один раз и затем приспосабливать его для работы на разных фронтах, к примеру внедрить вредоносный Flash-объект в документ Microsoft Office и раздавать через спам или фишинговые сообщения.

«Уверен, Flash является привлекательной мишенью для злоумышленников, ибо его поддерживают все браузеры и все платформы, — констатирует ИБ-исследователь из Tripwire Крэг Янг (Craig Young). — Возможность исполнения кода на клиентских системах предоставляет существенный вектор для атаки, как можно видеть на примере Java, ActiveX и JavaScript. Flash традиционно преобладает на многих браузерах и платформах, что позволяет повысить эффективность эксплойта».

«Можно ожидать, что Flash сохранит обширную пользовательскую базу на многие годы и потому останется досадной прорехой в системе безопасности оконечного оборудования, — продолжает Янг. — Возможно, некоторым сайтам и сервисам удастся быстро заменить Flash HTML5-контентом, однако сам Flash будет неизменно составлять действенный вектор атаки, коль скоро его поддерживают популярные браузеры».
Flash
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код