随着浏览器制造商的努力，攻击者利用 Adobe Flash 和其他插件中的漏洞也变得越来越难，针对中东外交官的黑客在本月尝试了一种新方法：使用 Microsoft Office 远程加载 Flash 内容，该内容使用强大的 0 day 漏洞来控制计算机。

星期四，Adobe发布了针对该严重漏洞的补丁，索引为 CVE-2018-5002。基于堆栈的缓冲区溢出是在 Office 文档中触发的，该文档嵌入了存储在 people.dohabayt.com 上的 Flash 文件的链接。一旦执行，恶意文件就会从相同的域下载恶意的有效载荷。来自安全公司 Icebrg 和奇虎 360 的研究人员独立发现并写下了这些攻击，并把这些攻击私下报告给了 Adobe。

Icebrg 的 CEO William Peteroy 告诉 Ars，在过去的几年中，浏览器制造商已经开始阻止 Flash 内容的默认设置，这一变化已经很大程度上防止了利用 Adobe 使用媒体播放器中的关键漏洞的驱动器攻击。相比之下，有些版本的 Microsoft Office 仍然会下载没有用户交互的 Flash。为了防止下载，用户应确保其安装完全阻止 Flash 加载，或者至少在未经明确许可的情况下不加载 Flash。

Icebrg 的研究人员徐晨鸣，Jason Jones，Justin Warner 和 Dan Caselden 在周四的博客文章中写道：

这次攻击从 Microsoft Office 内部加载 Adobe Flash Player，这是 Flash 开发的一种流行的方法，因为 Flash 在许多浏览器中被禁用。通常，恶意 Flash 文件被直接嵌入到文档中，这使得反病毒软件可以检测到漏洞。与典型的策略相反，这种攻击使用的是一个鲜为人知的功能，远程包含 Flash 内容，而不是直接将其嵌入文档中。只有选择 Flash Player ActiveX 控件的 XML 封装和提供参数的 OLE 对象。

远程 Flash 对象如何嵌入到 Office 文档中的示例

攻击的好处是该文档不包含任何利用代码，因此很难发现。远程下载漏洞还有一个另外的好处：攻击者可以选择性地将漏洞利用仅限于预定的 IP 地址，而不是任何恰好打开文档的人。这使攻击在很长的时间内不被发现。

至少有些版本的 Microsoft Office 会阻止某些形式的 Flash。来自的这份支持文件称，Office 2016 会阻止 Flash 内容，但不会引用其他版本。5 月份，Microsoft 官方在 Office 365 文档中发布了阻止 Flash的时间表。另一个文档似乎表明，ActiveX 控件默认是禁用的，至少在保护模式下查看文档时是如此。

在周四发布的一份咨询报告中，Microsoft 提供了关于在 Office 2007 和 Office 2010 中关闭 ActiveX 的指导。Microsoft 代表并未准确解释 Office 文档何时下载 Flash 内容或者终端用户可以做什么来阻止。

恶意文档是用阿拉伯语写的。翻译成英文的标题为 "basic_salary"。文件内包括与使馆有关的各种职位的薪金，包括秘书，大使和外交官。该漏洞的传输受自定义加密系统的保护，包括用于传输 AES 密钥的对称 AES 密码和非对称 RSA 密码。尽管 RSA 密码可以使用强大的计算机进行破解的 512 位密钥，然而，该系统突出了攻击者的上述平均能力，以防止攻击容易被发现或分析。

Icebrg 的研究人员写道：

远程包含的 Flash 漏洞和非对称密码技术的组合，是针对事后分析的强大的计数器。一旦被利用，唯一存在于受害者系统上的是仅包含 URL 的初始诱饵文档。在这种情况下，响应器可能会寻找网络数据包来重新创建攻击。但是，如果没有受害者的随机创建的专用密钥，响应器就不可能解密攻击者的代码并恢复后续的受保护阶段，例如漏洞或有效载荷。在这种情况下，响应器的唯一可取之处是使用弱 RSA 模数。

在过去几年中，越来越多的安全从业人员建议人们卸载独立的 Flash 应用程序，并使用默认阻止 Flash 内容的浏览器。周四研究的结果是，Office 用户应该确保阻止文档中的 Flash 内容，特别是来自未知或不可信任方的文档。持续使用 Flash 的用户应确保他们使用的版本为 30.0.0.113。（可在此处找到此版本）。