本周二Adobe發(fā)布一個(gè)緊急安全更新,建議用戶及管理員修復(fù)Flash Player中編號為CVE-2015-3113的0day漏洞,因?yàn)樵撀┒凑籄PT3黑客組織用在大規(guī)模的釣魚攻擊活動中。
漏洞詳情
如果該漏洞被攻擊者利用的話,受害者系統(tǒng)可能會被其完全掌控。另外,在windows7或者更低的版本上運(yùn)行IE、在windows XP上運(yùn)行Firefox都很容易受到網(wǎng)絡(luò)攻擊。
攻擊者發(fā)送的釣魚郵件中包含一個(gè)指向受感染的web服務(wù)器的惡意鏈接,它會提供無害的內(nèi)容或者含有該漏洞的Adobe Flash player文件。前段時(shí)間在新加坡也發(fā)現(xiàn)了利用該漏洞的釣魚活動,攻擊方式和這次的完全一樣。一旦受害者點(diǎn)開了釣魚郵件中的URL,就會被重定向到一個(gè)感染了惡意程序的托管JavaScript分析腳本的服務(wù)器上。如果受害者下載了惡意的Adobe Flash player SWF文件和FLV文件,則可能會留下一個(gè)惡意后門——SHOTPUT、CookieCutter。
被攻擊者利用的漏洞存在于Adobe Flash player解析Flash video(FLV)文件的過程中。該漏洞會使用普通的向量攻擊技術(shù)繞過隨機(jī)分配地址空間(ASLR),使用返回導(dǎo)向編程(ROP)繞過數(shù)據(jù)執(zhí)行保護(hù)(DEP)。ROP技術(shù)的妙處在于它很容易被利用,而且還可以躲避一些ROP檢測技術(shù)。
APT3組織利用該漏洞
火眼公司發(fā)布的報(bào)告稱,近幾周一個(gè)名為APT3的黑客組織利用這個(gè)漏洞攻擊航空、國防、技術(shù)、通信、建筑、工程及交通等行業(yè)組織機(jī)構(gòu)?;鹧酃局赋?,APT3是一個(gè)因利用IE、Firefox以及Flash Player 0day漏洞而為人熟知的復(fù)雜組織。該組織還使用了定制后門而且經(jīng)常修改命令和服務(wù)器基礎(chǔ)架構(gòu),讓研究人員更加難以追蹤它的活動。
解決方案:更新至最新版本或棄用
為了保護(hù)用戶,Adobe建議用戶更新至最新的Flash Player版本:Windows及Mac為18.0.0.194,Linux為11.2.202.468,擴(kuò)展支持版本為13.0.0.296。Chrome和Windows 8.x上IE瀏覽器默認(rèn)安裝的Flash Player插件將自動更新。如果用戶在Windows或Mac上選擇了“允許Adobe安裝更新”,更新也會自動完成。