攻击者另辟新路:在 MS Office 文档中嵌入 Flash 0 day 漏洞

随着浏览器制造商的努力,攻击者利用 Adobe Flash 和其他插件中的漏洞也变得越来越难,针对中东外交官的黑客在本月尝试了一种新方法:使用 Microsoft Office 远程加载 Flash 内容,该内容使用强大的 0 day 漏洞来控制计算机。

星期四,Adobe发布了针对该严重漏洞的补丁,索引为 CVE-2018-5002。基于堆栈的缓冲区溢出是在 Office 文档中触发的,该文档嵌入了存储在 people.dohabayt.com 上的 Flash 文件的链接。一旦执行,恶意文件就会从相同的域下载恶意的有效载荷。来自安全公司 Icebrg 和奇虎 360 的研究人员独立发现并写下了这些攻击,并把这些攻击私下报告给了 Adobe。

Icebrg 的 CEO William Peteroy 告诉 Ars,在过去的几年中,浏览器制造商已经开始阻止 Flash 内容的默认设置,这一变化已经很大程度上防止了利用 Adobe 使用媒体播放器中的关键漏洞的驱动器攻击。相比之下,有些版本的 Microsoft Office 仍然会下载没有用户交互的 Flash。为了防止下载,用户应确保其安装完全阻止 Flash 加载,或者至少在未经明确许可的情况下不加载 Flash。

Icebrg 的研究人员徐晨鸣,Jason Jones,Justin Warner 和 Dan Caselden 在周四的博客文章中写道:

这次攻击从 Microsoft Office 内部加载 Adobe Flash Player,这是 Flash 开发的一种流行的方法,因为 Flash 在许多浏览器中被禁用。通常,恶意 Flash 文件被直接嵌入到文档中,这使得反病毒软件可以检测到漏洞。与典型的策略相反,这种攻击使用的是一个鲜为人知的功能,远程包含 Flash 内容,而不是直接将其嵌入文档中。只有选择 Flash Player ActiveX 控件的 XML 封装和提供参数的 OLE 对象。

远程 Flash 对象如何嵌入到 Office 文档中的示例

攻击的好处是该文档不包含任何利用代码,因此很难发现。远程下载漏洞还有一个另外的好处:攻击者可以选择性地将漏洞利用仅限于预定的 IP 地址,而不是任何恰好打开文档的人。这使攻击在很长的时间内不被发现。

至少有些版本的 Microsoft Office 会阻止某些形式的 Flash。来自的这份支持文件称,Office 2016 会阻止 Flash 内容,但不会引用其他版本。5 月份,Microsoft 官方在 Office 365 文档中发布了阻止 Flash的时间表。另一个文档似乎表明,ActiveX 控件默认是禁用的,至少在保护模式下查看文档时是如此。

在周四发布的一份咨询报告中,Microsoft 提供了关于在 Office 2007 和 Office 2010 中关闭 ActiveX 的指导。Microsoft 代表并未准确解释 Office 文档何时下载 Flash 内容或者终端用户可以做什么来阻止。

恶意文档是用阿拉伯语写的。翻译成英文的标题为 "basic_salary"。文件内包括与使馆有关的各种职位的薪金,包括秘书,大使和外交官。该漏洞的传输受自定义加密系统的保护,包括用于传输 AES 密钥的对称 AES 密码和非对称 RSA 密码。尽管 RSA 密码可以使用强大的计算机进行破解的 512 位密钥,然而,该系统突出了攻击者的上述平均能力,以防止攻击容易被发现或分析。

Icebrg 的研究人员写道:

远程包含的 Flash 漏洞和非对称密码技术的组合,是针对事后分析的强大的计数器。一旦被利用,唯一存在于受害者系统上的是仅包含 URL 的初始诱饵文档。在这种情况下,响应器可能会寻找网络数据包来重新创建攻击。但是,如果没有受害者的随机创建的专用密钥,响应器就不可能解密攻击者的代码并恢复后续的受保护阶段,例如漏洞或有效载荷。在这种情况下,响应器的唯一可取之处是使用弱 RSA 模数。

在过去几年中,越来越多的安全从业人员建议人们卸载独立的 Flash 应用程序,并使用默认阻止 Flash 内容的浏览器。周四研究的结果是,Office 用户应该确保阻止文档中的 Flash 内容,特别是来自未知或不可信任方的文档。持续使用 Flash 的用户应确保他们使用的版本为 30.0.0.113。(可在此处找到此版本)。

发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

推荐文章

'); })();