最新Adobe Flash 0day漏洞攻击泛起 ,抖圈为赌而生APT产物无需升级即可检测

宣布时间 2018-06-09
6月7日 ,Adobe宣布宁静通告 ,修复了Flash Player的多个宁静漏洞。其中值得关注的是CVE-2018-5002 ,该漏洞和一起最新的针对阿拉伯语国家的APT攻击有关。事件披露后 ,抖圈为赌而生金睛宁静研究团队迅速对其做出响应。经过测试 ,抖圈为赌而生APT产物无需升级 ,即可对该类样本进行检测。

◆漏洞影响版本◆

Adobe Flash Player Desktop Runtime 29.0.0.171 及更早版本

Adobe Flash Player for Google Chrome 29.0.0.171 及更早版本

Adobe Flash Player for Microsoft Edge and Internet Explorer 11 29.0.0.171 及更早版本

◆简要分析◆

样本文件名为basic_salary.xlsx ,即”基础人为” ,从其文档内容也可以看出与样本名相切合。

尊龙抖圈 - 为du而生
 
文档启动后 ,其内嵌的Flash工具会自动加载远程Flash文件 ,该远程Flash文件解密后可以得到真正触发CVE-2018-5002漏洞的SWF文件 ,一旦触发漏洞 ,SWF2便会下载恶意Shellcode运行。

尊龙抖圈 - 为du而生

 
漏洞触发的原因主要由于Flash未能正确处置包罗特殊字节码序列的SWF文件 ,通过修改SWF文件的字节码可以触发栈越界读写漏洞。

◆解决方案◆

1、 Adobe官方已经宣布宁静通告(通告ID:APSB18-19) ,可访问以下官方链接 ,获取对应平台的Flash更新法式。

https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

2、抖圈为赌而生天阗高级连续性威胁检测系统无需升级即可检测该攻击。

尊龙抖圈 - 为du而生