攻擊新套路：在MS Office文檔中嵌入Flash 0day漏洞

隨著瀏覽器製造商的努力，攻擊者利用Adobe Flash和其他插件中的漏洞也變得越來越難，針對中東外交官的黑客在本月嘗試了一種新方法：使用Microsoft Office遠程載入Flash內容，該內容使用強大的0 day漏洞來控制計算機。

Icebrg的CEO William Peteroy告訴Ars，在過去的幾年中，瀏覽器製造商已經開始阻止Flash內容的默認設置，這一變化已經很大程度上防止了利用Adobe使用媒體播放器中的關鍵漏洞的驅動器攻擊。相比之下，有些版本的Microsoft Office仍然會下載沒有用戶交互的Flash。為了防止下載，用戶應確保其安裝完全阻止Flash載入，或者至少在未經明確許可的情況下不載入Flash。

Icebrg的研究人員徐晨鳴，Jason Jones，Justin Warner和Dan Caselden在周四的博客文章中寫道：

這次攻擊從Microsoft Office內部載入Adobe Flash Player，這是Flash開發的一種流行的方法，因為Flash在許多瀏覽器中被禁用。通常，惡意Flash文件被直接嵌入到文檔中，這使得反病毒軟體可以檢測到漏洞。與典型的策略相反，這種攻擊使用的是一個鮮為人知的功能，遠程包含Flash內容，而不是直接將其嵌入文檔中。只有選擇Flash Player ActiveX控制項的XML封裝和提供參數的OLE對象。

遠程Flash對象如何嵌入到Office文檔中的示例

攻擊的好處是該文檔不包含任何利用代碼，因此很難發現。遠程下載漏洞還有一個另外的好處：攻擊者可以選擇性地將漏洞利用僅限於預定的IP地址，而不是任何恰好打開文檔的人。這使攻擊在很長的時間內不被發現。

至少有些版本的Microsoft Office會阻止某些形式的Flash。來自的這份支持文件稱，Office 2016會阻止Flash內容，但不會引用其他版本。5月份，Microsoft官方在Office 365文檔中發布了阻止Flash的時間表。另一個文檔似乎表明，ActiveX控制項默認是禁用的，至少在保護模式下查看文檔時是如此。

在周四發布的一份諮詢報告中，Microsoft提供了關於在Office 2007和Office 2010中關閉ActiveX的指導。Microsoft代表並未準確解釋Office文檔何時下載Flash內容或者終端用戶可以做什麼來阻止。

惡意文檔是用阿拉伯語寫的。翻譯成英文的標題為「basic_salary」。文件內包括與使館有關的各種職位的薪金，包括秘書，大使和外交官。該漏洞的傳輸受自定義加密系統的保護，包括用於傳輸AES密鑰的對稱AES密碼和非對稱RSA密碼。儘管RSA密碼可以使用強大的計算機進行破解的512位密鑰，然而，該系統突出了攻擊者的上述平均能力，以防止攻擊容易被發現或分析。

Icebrg的研究人員寫道：

遠程包含的Flash漏洞和非對稱密碼技術的組合，是針對事後分析的強大的計數器。一旦被利用，唯一存在於受害者系統上的是僅包含URL的初始誘餌文檔。在這種情況下，響應器可能會尋找網路數據包來重新創建攻擊。但是，如果沒有受害者的隨機創建的專用密鑰，響應器就不可能解密攻擊者的代碼並恢復後續的受保護階段，例如漏洞或有效載荷。在這種情況下，響應器的唯一可取之處是使用弱RSA模數。

在過去幾年中，越來越多的安全從業人員建議人們卸載獨立的Flash應用程序，並使用默認阻止Flash內容的瀏覽器。周四研究的結果是，Office用戶應該確保阻止文檔中的Flash內容，特別是來自未知或不可信任方的文檔。持續使用Flash的用戶應確保他們使用的版本為30.0.0.113。（可在此處找到此版本）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！