最新Adobe Flash 0day漏洞攻击出现,启明星辰APT产品无需升级即可检测
发布时间 2018-06-09
6月7日,Adobe发布安全公告,修复了Flash Player的多个安全漏洞。其中值得关注的是CVE-2018-5002,该漏洞和一起最新的针对阿拉伯语国家的APT攻击有关。事件披露后,启明星辰金睛安全研究团队迅速对其做出响应。经过测试,启明星辰APT产品无需升级,即可对该类样本进行检测。
◆漏洞影响版本◆
Adobe Flash Player Desktop Runtime 29.0.0.171 及更早版本
Adobe Flash Player for Google Chrome 29.0.0.171 及更早版本
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 29.0.0.171 及更早版本
◆简要分析◆
样本文件名为basic_salary.xlsx,即”基础工资”,从其文档内容也可以看出与样本名相符合。
文档启动后,其内嵌的Flash对象会自动加载远程Flash文件,该远程Flash文件解密后可以得到真正触发CVE-2018-5002漏洞的SWF文件,一旦触发漏洞,SWF2便会下载恶意Shellcode运行。
漏洞触发的原因主要由于Flash未能正确处理包含特殊字节码序列的SWF文件,通过修改SWF文件的字节码可以触发栈越界读写漏洞。
◆解决方案◆
1、 Adobe官方已经发布安全公告(公告ID:APSB18-19),可访问以下官方链接,获取对应平台的Flash更新程序。
https://helpx.adobe.com/security/products/flash-player/apsb18-19.html
2、启明星辰天阗高级持续性威胁检测系统无需升级即可检测该攻击。
◆漏洞影响版本◆
Adobe Flash Player Desktop Runtime 29.0.0.171 及更早版本
Adobe Flash Player for Google Chrome 29.0.0.171 及更早版本
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 29.0.0.171 及更早版本
◆简要分析◆
样本文件名为basic_salary.xlsx,即”基础工资”,从其文档内容也可以看出与样本名相符合。
文档启动后,其内嵌的Flash对象会自动加载远程Flash文件,该远程Flash文件解密后可以得到真正触发CVE-2018-5002漏洞的SWF文件,一旦触发漏洞,SWF2便会下载恶意Shellcode运行。
漏洞触发的原因主要由于Flash未能正确处理包含特殊字节码序列的SWF文件,通过修改SWF文件的字节码可以触发栈越界读写漏洞。
◆解决方案◆
1、 Adobe官方已经发布安全公告(公告ID:APSB18-19),可访问以下官方链接,获取对应平台的Flash更新程序。
https://helpx.adobe.com/security/products/flash-player/apsb18-19.html
2、启明星辰天阗高级持续性威胁检测系统无需升级即可检测该攻击。
京公网安备11010802024551号