本周二Adobe發(fā)布一個(gè)緊急安全更新，建議用戶(hù)及管理員修復(fù)Flash Player中編號(hào)為CVE-2015-3113的0day漏洞，因?yàn)樵撀┒凑籄PT3黑客組織用在大規(guī)模的釣魚(yú)攻擊活動(dòng)中。

漏洞詳情

如果該漏洞被攻擊者利用的話(huà)，受害者系統(tǒng)可能會(huì)被其完全掌控。另外，在windows7或者更低的版本上運(yùn)行IE、在windows XP上運(yùn)行Firefox都很容易受到網(wǎng)絡(luò)攻擊。

攻擊者發(fā)送的釣魚(yú)郵件中包含一個(gè)指向受感染的web服務(wù)器的惡意鏈接，它會(huì)提供無(wú)害的內(nèi)容或者含有該漏洞的Adobe Flash player文件。前段時(shí)間在新加坡也發(fā)現(xiàn)了利用該漏洞的釣魚(yú)活動(dòng)，攻擊方式和這次的完全一樣。一旦受害者點(diǎn)開(kāi)了釣魚(yú)郵件中的URL，就會(huì)被重定向到一個(gè)感染了惡意程序的托管JavaScript分析腳本的服務(wù)器上。如果受害者下載了惡意的Adobe Flash player SWF文件和FLV文件，則可能會(huì)留下一個(gè)惡意后門(mén)——SHOTPUT、CookieCutter。

被攻擊者利用的漏洞存在于Adobe Flash player解析Flash video(FLV)文件的過(guò)程中。該漏洞會(huì)使用普通的向量攻擊技術(shù)繞過(guò)隨機(jī)分配地址空間(ASLR)，使用返回導(dǎo)向編程(ROP)繞過(guò)數(shù)據(jù)執(zhí)行保護(hù)(DEP)。ROP技術(shù)的妙處在于它很容易被利用，而且還可以躲避一些ROP檢測(cè)技術(shù)。

APT3組織利用該漏洞

火眼公司發(fā)布的報(bào)告稱(chēng)，近幾周一個(gè)名為APT3的黑客組織利用這個(gè)漏洞攻擊航空、國(guó)防、技術(shù)、通信、建筑、工程及交通等行業(yè)組織機(jī)構(gòu)。火眼公司指出，APT3是一個(gè)因利用IE、Firefox以及Flash Player 0day漏洞而為人熟知的復(fù)雜組織。該組織還使用了定制后門(mén)而且經(jīng)常修改命令和服務(wù)器基礎(chǔ)架構(gòu)，讓研究人員更加難以追蹤它的活動(dòng)。

解決方案：更新至最新版本或棄用

為了保護(hù)用戶(hù)，Adobe建議用戶(hù)更新至最新的Flash Player版本：Windows及Mac為18.0.0.194，Linux為11.2.202.468，擴(kuò)展支持版本為13.0.0.296。Chrome和Windows 8.x上IE瀏覽器默認(rèn)安裝的Flash Player插件將自動(dòng)更新。如果用戶(hù)在Windows或Mac上選擇了“允許Adobe安裝更新”，更新也會(huì)自動(dòng)完成。