攻擊新套路:在MS Office文檔中嵌入Flash 0day漏洞
隨著瀏覽器製造商的努力,攻擊者利用Adobe Flash和其他插件中的漏洞也變得越來越難,針對中東外交官的黑客在本月嘗試了一種新方法:使用Microsoft Office遠程載入Flash內容,該內容使用強大的0 day漏洞來控制計算機。
Icebrg的CEO William Peteroy告訴Ars,在過去的幾年中,瀏覽器製造商已經開始阻止Flash內容的默認設置,這一變化已經很大程度上防止了利用Adobe使用媒體播放器中的關鍵漏洞的驅動器攻擊。相比之下,有些版本的Microsoft Office仍然會下載沒有用戶交互的Flash。為了防止下載,用戶應確保其安裝完全阻止Flash載入,或者至少在未經明確許可的情況下不載入Flash。
Icebrg的研究人員徐晨鳴,Jason Jones,Justin Warner和Dan Caselden在周四的博客文章中寫道:
這次攻擊從Microsoft Office內部載入Adobe Flash Player,這是Flash開發的一種流行的方法,因為Flash在許多瀏覽器中被禁用。通常,惡意Flash文件被直接嵌入到文檔中,這使得反病毒軟體可以檢測到漏洞。與典型的策略相反,這種攻擊使用的是一個鮮為人知的功能,遠程包含Flash內容,而不是直接將其嵌入文檔中。只有選擇Flash Player ActiveX控制項的XML封裝和提供參數的OLE對象。
遠程Flash對象如何嵌入到Office文檔中的示例
攻擊的好處是該文檔不包含任何利用代碼,因此很難發現。遠程下載漏洞還有一個另外的好處:攻擊者可以選擇性地將漏洞利用僅限於預定的IP地址,而不是任何恰好打開文檔的人。這使攻擊在很長的時間內不被發現。
至少有些版本的Microsoft Office會阻止某些形式的Flash。來自的這份支持文件稱,Office 2016會阻止Flash內容,但不會引用其他版本。5月份,Microsoft官方在Office 365文檔中發布了阻止Flash的時間表。另一個文檔似乎表明,ActiveX控制項默認是禁用的,至少在保護模式下查看文檔時是如此。
在周四發布的一份諮詢報告中,Microsoft提供了關於在Office 2007和Office 2010中關閉ActiveX的指導。Microsoft代表並未準確解釋Office文檔何時下載Flash內容或者終端用戶可以做什麼來阻止。
惡意文檔是用阿拉伯語寫的。翻譯成英文的標題為「basic_salary」。文件內包括與使館有關的各種職位的薪金,包括秘書,大使和外交官。該漏洞的傳輸受自定義加密系統的保護,包括用於傳輸AES密鑰的對稱AES密碼和非對稱RSA密碼。儘管RSA密碼可以使用強大的計算機進行破解的512位密鑰,然而,該系統突出了攻擊者的上述平均能力,以防止攻擊容易被發現或分析。
Icebrg的研究人員寫道:
遠程包含的Flash漏洞和非對稱密碼技術的組合,是針對事後分析的強大的計數器。一旦被利用,唯一存在於受害者系統上的是僅包含URL的初始誘餌文檔。在這種情況下,響應器可能會尋找網路數據包來重新創建攻擊。但是,如果沒有受害者的隨機創建的專用密鑰,響應器就不可能解密攻擊者的代碼並恢復後續的受保護階段,例如漏洞或有效載荷。在這種情況下,響應器的唯一可取之處是使用弱RSA模數。
在過去幾年中,越來越多的安全從業人員建議人們卸載獨立的Flash應用程序,並使用默認阻止Flash內容的瀏覽器。周四研究的結果是,Office用戶應該確保阻止文檔中的Flash內容,特別是來自未知或不可信任方的文檔。持續使用Flash的用戶應確保他們使用的版本為30.0.0.113。(可在此處找到此版本)。
※iOS照相機應用曝漏洞,至今尚未修復
※解密開展奪旗競賽前需要了解的十大問題
TAG:嘶吼RoarTalk |