Adobe Flash大限將近，但漏洞仍不容忽視

McAfee Advanced Threat Research團隊分析人員多年來一直在研究Adobe Flash Player，因為它是受攻擊的熱門目標。與往常一樣，我們建議客戶隨時關注McAfee最新的DAT版本。在這篇文章中，我們想深入了解Flash開發的歷史和未來趨勢。

Morphisec發布了一個新的Flash漏洞CVE-2018-4878，此漏洞在野外已被利用。McAfee Labs的Hardik Shah在3月2日發布了CVE-2018-4878機制的技術分析：

由於Adobe推出了各種加強Flash安全性的措施，Flash Player漏洞利用的數量最近有所下降。然而，有時候，還是會出現漏洞。1月31日，Kr-Cert報告了一個零日漏洞，被確定為CVE-2018-4878，已被利用。（Adobe發布了一個更新來修復這個漏洞。）

本文將回顧自2006年發布Flash的第一個通用漏洞（CVE）以來，Flash的漏洞歷史。通過這些數據，使用Flash的用戶和網站所有者可以更好地理解Flash漏洞，以及為什麼儘管Adobe在2020年將停止開發Flash，而Flash仍將繼續吸引攻擊者。

我們查閱了有關Flash漏洞的歷史數據，也考慮了Flash的當前安裝和使用情況。通過分析，我們認為，儘管Adobe宣布Flash的使用壽命即將到來，但即使有的網站使用了其他技術，也免不了許多網站仍將繼續使用並依賴於Flash。（請參閱下面的示例站點列表。）故此，Flash在不久的將來繼續為攻擊者提供可利用的漏洞集。

以下圖表使用CVE數據，雖然並非所有可被利用和已被利用的漏洞都會收錄到CVE，但通過安全研究發現或報告主要軟體供應商產品的大多數漏洞最終都會獲得一個CVE編號，並將其發布到Mitre保存的CVE資料庫中。因此，CVE提供了一個方便的漏洞資料庫來幫助研究。

在整個資料庫中搜索Flash Player或Adobe Flash Player，返回2006-2017年度的1,050個CVE。

在2006年和2014年之間，報告的漏洞數量穩步增加，然後在2015年和2016年我們看到了大幅度增長。在1,050個漏洞中，大約79％（830）為攻擊者提供了某種代碼執行能力，但並非830中的每一個漏洞都允許遠程代碼執行。儘管如此，攻擊者仍然可以通過運行代碼獲益。 McAfee Labs分析顯示，CVE-2018-4878是遠程代碼執行的另一個例子，通常會導致完全淪陷。這一點表明，Flash漏洞仍將是一個重要目標。

數據源CVE Details 提供了如下Flash CVE漏洞分布：

從2015年到2017年，81％的漏洞導致了這種或那種形式的代碼執行。

CVE Details 還採用CVSS(Common Vulnerability Scoring System scores) 為Flash漏洞評分。2015-2017年的許多漏洞得分高於9分，這被認為是嚴重的。

·2015年：294個漏洞≥9

·2016年：224個漏洞≥9

·2017：60個漏洞≥9

這些嚴重漏洞的分數，進一步突出了為什麼攻擊者仍然有興趣利用Flash漏洞;因為它們為攻擊者提供了重要的攻擊價值。看看漏洞的歷史分布，2015年達到了一個高峰，然後峰值下降。在2014年下半年，Adobe改變了軟體安全戰略。

Adobe公司首席安全官Brad Arkin在2014年10月的一次會議上說：「找到並修復漏洞並不是要走的路，它讓...... [攻擊者]取得成功變得更加困難和昂貴。」他敦促組織停止修補每一個漏洞，而是增加開發成本來挫敗攻擊者。 「壞人並不愚蠢，」他補充道。 「他們將以儘可能高的成本效益應用資源，所以會盡量減少利用漏洞的成本。」

Adobe在軟體安全戰略方面的轉變使利用問題變得過於昂貴，以至於攻擊者會挖掘更容易、更少資源密集型以及更可靠的方法。正如標準的安全開發生命周期技術試圖阻止新的漏洞被發現一樣，Adobe的方法並非追逐每一個漏洞，而是專註於構建漏洞的防禦技術。

軟體開發很少會立即生效，尤其是在大規模的情況下。戰略轉變和結果之間通常存在滯後（通常是一到兩年）。無論如何，要消除的第一個問題往往是最容易解決的。隨著該計劃的有效性提高，資源可用於解決更棘手的問題。

Brad Arkin談到了2014年秋季的戰略轉變。我們預計這種轉變需要時間，這就是在數據中看到的情況：2016年，新發現的漏洞數量開始下降。但是，2015年和2016年的漏洞急劇增加還需要做進一步的考察。

當安全研究人員專註於代碼庫時，他們通常找到的是最容易發現的問題。當這些問題被發現並修復後，研究人員會更深入的探究，轉向那些增加難度的技術。由於難度越來越大，我們經常看到發現的漏洞在減少;而發現棘手的問題需要更多的時間和精力。

將發現漏洞難度的增加與軟體安全計劃效率的提高結合起來，我們發現了一個類似於從2015年到2017年的Flash CVE報告中看到的分布。直到2015年發現，攻擊者利用相對容易找到的跨站點腳本漏洞，但它們在2014年之後基本消失。然而突然間，在2015年難以發現的內存漏洞和代碼執行方面有了巨大的提升。CVE數字的飛躍反映了更多技術上具有挑戰性的問題，就像Adobe的軟體戰略正在轉變一樣。

新戰略到2015年還沒有完全有效。另外，Flash與所有複雜的軟體一樣，攜帶大量遺留代碼。就在研究人員深入挖掘代碼基礎時，Adobe的軟體安全變更不僅需要追蹤漏洞修復程序，還需要生成保護性代碼和設計，所有這些都需要時間來實施。這種典型的情況解釋了2015年新型嚴重漏洞的湧入以及隨後的持續減少。

儘管如此，沒有任何單一或安全技術的集合是完美的。在2017年，Flash標記了70個新漏洞。到2018年為止，已經發現了三個。最新的CVE-2018-4878在技術上具有挑戰性，似乎處於Adobe為防止這些內存結構被濫用而放置在位元組數組內的保護範圍之內。邁克菲的Hardik Shah在「黑客如何繞過Adobe Flash保護機制」一文中寫道：

[CVE-2018-4878]繞過了為防止Flash中的」長度破壞「攻擊而引入的位元組數組緩解功能。

在編寫任何其他代碼時，實施軟體保護時無意中添加利用機會是可能的。在2017年和2018年發現的73個漏洞中，沒有任何方法可以在沒有跟蹤代碼變化的情況下知道每個漏洞何時引入。其中一些可能出現在從早期版本轉入的代碼中，也就是從傳統代碼中產生。軟體開發者有一個約定俗成，即在每個新版本中重複使用儘可能多的代碼。這比較便宜，因為它節省了時間。

在Flash（超過10年）歷史的產品中，其一些代碼是針對不同的威脅環境編寫的，而不是針對當今的攻擊者以及更複雜的工具和技術。我們有理由懷疑過去兩年中新發現問題的很大一部分代碼已出現在最新版本中。這些漏洞與最新的漏洞CVE-2018-4878形成對比，CVE-2018-4878繞過並濫用Adobe在戰略轉移後可能實施的保護措施。CVE-2018-4878濫用的代碼旨在使位元組數組的開發「更加昂貴」。

為了衡量Flash的普及程度，我們調閱了Q-Success的W3Techs網路調查數據。下表顯示了四種客戶端語言的使用情況，Flash自2011年以來一直穩步下降。另一方面，JavaScript今天幾乎無處不在，達到95％。這兩種主要語言都繪製在表格後面的圖表中。

網站使用客戶端編程語言的年度趨勢

網站客戶端編程語言的使用情況（佔網站的百分比）

圖表數據截至2018年3月8日，表格和圖表來源：2009-2018 Q-Success DI Gelbmann GmbH。

根據W3Techs的數據，我們可以看到Flash的使用量穩步下降，僅為接受調查的網站的5％。這意味著Flash的利用率也會下降甚至停止嗎？不幸的是，事實並非如此。

下面W3Techs圖表顯示，儘管使用Flash的網站數量相當少，但只要有高流量的網站使用它，就能保證Flash的流行。

高流量網站仍在使用Adobe Flash

來源：PublicWWW

如果受歡迎的網站繼續使用Flash，則Flash Player將在用戶的計算機上保留一段時間。Adobe承諾將繼續支持Flash Player，直到2020年底。不幸的是，這意味著不再增加軟體更新，功能和補丁;而它並沒有有效地改變Flash的整體使用。只有網站不再需要Flash，才會真正消除漏洞。

高度針對性的攻擊僅需攻陷一台能訪問組織基礎架構的計算機即可達成戰略目標。這台計算機可能運行未打補丁或過時的Flash。

隨著Flash的使用下降，客戶端JavaScript已成為事實上的瀏覽器編程語言。然而，JavaScript的接管不能完全解決問題，因為它可以提供Flash payload。儘管我們分析的一些Flash漏洞可以被遠程利用，但許多並不能。攻擊者通常需要受害者進行一些交互才能成功利用Flash漏洞。為此，JavaScript已經成為一種日益普遍的傳播機制。

DIY: 集成為一個工具包

對於攻擊者來說更重要的是可以在許多漏洞工具包中輕鬆獲得Flash漏洞。工具包打包了所有必需的代碼，以執行一系列已知的漏洞。在工具包中獲得隨時可用的漏洞意味著攻擊者的努力要少得多。工具包也降低了技術條件。攻擊者無需了解漏洞如何工作;他們可以在不知道技術細節的情況下簡單地利用工具包即可。

McAfee Advanced Threat Research團隊的Tim Hux表示，老的Flash漏洞利用以及CVE-2018-4878等新漏洞仍然可用。Bizarro Sundown（又名GreenFlash）和ThreadKit漏洞利用工具包上個月將此新漏洞利用添加到他們的列表中。他說， 「Rig and Magnitude開發工具包本月將這個漏洞添加到了他們的武器庫中。」

添加新的漏洞並不意味著老漏洞不再可用，利用工具包是添加型的。2014年出現的Rig包含以下Flash漏洞利用：

CVE-2013-0634 CVE-2015-3113

CVE-2014-0497 CVE-2015-5119

CVE-2014-0515 CVE-2015-5122

CVE-2014-0569 CVE-2015-7645

CVE-2015-0311 CVE-2016-1019

CVE-2015-0359 CVE-2016-4117

CVE-2015-3090

舊的漏洞不會消失，它們不經常使用是因為軟體打了補丁。如果攻擊者發現使用中的Flash存在有漏洞的版本，則就會利用該漏洞。

總結

證明軟體沒有錯誤是困難的，甚至是不可能的。正如著名計算機科學家Edsger Dijkstra所說：「測試顯示了存在，而不是缺少錯誤。」（Software Engineering Techniques，北約科學委員會）換句話說，即使在發布之前已通過一系列安全測試的軟體仍可能包含可利用的漏洞。

根據我們對Flash CVEs與Flash持續使用（尤其是在高流量站點）之間關係的分析，McAfee Advanced Threat Research團隊認為，Flash漏洞將繼續為攻擊者提供一種達到惡意目的的手段。然而，Adobe在安全戰略方面的轉變是減少新發現問題的一個很好的步驟。

近期利用Flash Player漏洞的攻擊行動

CVE-2018-4878: Currently being exploited in a massive spam mail campaign.

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Vulnerabilities/cve20184878.html

·https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/north-korean-hackers-allegedly-exploit-adobe-flash-player-vulnerability-cve-2018-4878-against-south-korean-targets

CVE-2017-11292: Black Oasis Advanced Persistent Threat

·https://threatpost.com/adobe-patches-flash-zero-day-exploited-by-black-oasis-apt/128467/

CVE-2016-4117: Hidden Cobra APT/CryptXXX Ransomware/Erebus APT

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Vulnerabilities/cve20164117.html

·https://www.proofpoint.com/us/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler

·http://securityaffairs.co/wordpress/48415/cyber-crime/scarcruft-apt.html

CVE-2016-1019: Cerber and Locky ransomware/Hidden Cobra APT

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Vulnerabilities/749.html

·https://blog.trendmicro.com/trendlabs-security-intelligence/look-adobe-flash-player-cve-2016-1019-zero-day-vulnerability/

·https://www.proofpoint.com/us/threat-insight/post/killing-zero-day-in-the-egg

CVE-2015-3133: CryptoWall Ransomware

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Vulnerabilities/786.html

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Ransomware/58.html

·https://nakedsecurity.sophos.com/2015/06/29/latest-flash-hole-already-exploited-ransomware/

CVE-2015-0311: TeslaCrypt and FessLeak Ransomware

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Vulnerabilities/804.html

·https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-cve-2015-0311-flash-zero-day-vulnerability/

·http://malware.dontneedcoffee.com/2015/01/cve-2015-0311-flash-up-to-1600287.html

CVE-2014-8439: Cerber Ransomware

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Vulnerabilities/cve20148439.html

·https://www.f-secure.com/weblog/archives/00002768.html

CVE-2015-7645: Cerber and Alpha Crypt Ransomware

·https://www.mcafee.com/threat-center/threat-landscape-dashboard/Vulnerabilities/883.html

·http://malware.dontneedcoffee.com/2015/10/cve-2015-7645.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！