近日，安全專家再度爆出一個存在于 Adobe Flash Player 中的新的 0day 漏洞，此次發(fā)現(xiàn)源于一起針對俄羅斯的醫(yī)療保健機構(gòu)的網(wǎng)絡(luò)襲擊事件。

該漏洞被編號為 CVE-2018-15982，攻擊者可通過漏洞在目標(biāo)用戶的計算機上執(zhí)行任意代碼，最終可取得系統(tǒng)的完全控制權(quán)。漏洞最早在一個 Office 的惡意文檔中被發(fā)現(xiàn)，目前漏洞細(xì)節(jié)已上傳至了 VirusTotal。

漏洞原理

該漏洞通過在 word 文檔中嵌入一個 Flash Active X 的控件來實現(xiàn)，當(dāng)用戶打開文檔時，會觸發(fā)該漏洞導(dǎo)致 Flash 播放器出現(xiàn)故障。

但研究人員解釋，Office 文件(22.docx)和其中的 Flash 漏洞本身都不包含控制系統(tǒng)的最終有效負(fù)載。而真正起到作用的部分反而是隱藏在其中的一個圖像文件(scan042.jpg)，該文件本身就是一個存檔文件，與 word 文檔一起打包存在壓縮包中，然后通過魚叉式網(wǎng)絡(luò)釣魚電子郵件分發(fā)出去，視頻演示如下：

https://v.qq.com/x/page/d0809osqjsq.html

用戶收到并打開文檔后，F(xiàn)lash 漏洞利用程序便會在系統(tǒng)上執(zhí)行命令來取消歸檔映像文件并運行惡意程序(backup.exe)，該程序收到 VMProtect 的保護(hù)，并會自主安裝后門程序。隨后可獲得用戶系統(tǒng)中如下權(quán)限：

1. 監(jiān)控用戶活動(鍵盤或鼠標(biāo)記錄);

2. 收集系統(tǒng)信息并將其發(fā)送至遠(yuǎn)程命令和控制(C&C)服務(wù)器;

3. 執(zhí)行 shellcode;

4. 將 PE 加載至內(nèi)存中;

5. 下載文件;

6. 執(zhí)行代碼;

7. 自我“毀滅”。

來自 Gigamon Applied Threat Rearch 的研究人員將該惡意軟件命名為“操作毒針”，但目前并沒有確定該軟件或攻擊行為的來源。然而根據(jù)此前針對俄羅斯的攻擊事件來看，研究人員認(rèn)為攻擊者可能來自烏克蘭。

該漏洞會對 Adobe Flash Player 31.0.0.153 以及其之前的版本產(chǎn)生影響，Google Chrome、Microsoft Edge 以及 Internet Explorer 11 等瀏覽器均會受到影響，Adobe Flash Player 31.0.0.108 之前版本的安裝程序也會受到影響。

研究人員已于 11 月 29 日將漏洞上報與 Adobe 公司，目前也已發(fā)布了針對 Windows、macOS、Linux 和 Chrome 等系統(tǒng)的升級補丁。

來源：FreeBuf.COM