這周，Adobe公司修復了一個0 day漏洞(CVE-2016-4171)。根據俄羅斯安全廠商卡巴斯基實驗室提供的信息，通過這一漏洞，攻擊者可以利用Windows DDE協議來傳播惡意軟件，并進行有針對性的網絡間諜攻擊。

在上周二，安全研究人員曝光了這一新型Flash 0 day漏洞，而在兩天之后，Adobe公司發布了Flash Player 22.0.0.192，并在這一版本中修復了這一0 day漏洞。除此之外，這一新版Flash Player還修復了其它的35個安全漏洞。

StarCruft APT黑客組織目前正在進行兩項網絡間諜活動

安全公司卡巴斯基實驗室發現了這個0 day漏洞，該公司的安全研究人員在其針對這一漏洞的初步報告中表示，代號為“StarCruft”的網絡間諜組織一直都在利用這一漏洞進行網絡攻擊。

該組織已經進行了多個網絡攻擊活動，而在此之前，卡巴斯基實驗室一只都在追蹤“Operation Erebus”和“Operation Daybreak”這兩項網絡間諜活動。

據了解，在最近的“Operation Daybreak”網絡間諜活動中，攻擊者利用了這一0 day漏洞來實施攻擊。卡巴斯基實驗室的安全研究人員還發現，除了這一0 day漏洞之外，該黑客組織還利用了另外兩個Adobe漏洞(CVE-2016-4117和CVE-2016-0147)，以及一個IE瀏覽器漏洞。對于“Operation Erebus”網絡間諜活動，卡巴斯基實驗室則表示，攻擊者只利用了漏洞CVE-2016-4117，并結合了“水坑攻擊”來對目標進行攻擊。

攻擊者利用網絡釣魚郵件來讓目標用戶感染惡意軟件

在“Operation Daybreak”網絡間諜活動中，黑客組織StarCruft使用了網絡釣魚郵件。這些惡意郵件中包含有一個惡意鏈接，從表面上看該鏈接可以將用戶的網絡流量重定向至網頁中嵌入的PDF文件，但實際上該頁面還加載有漏洞利用工具。

當用戶訪問了這些URL地址之后，惡意網站會將三個包含有Flash漏洞的SWF文件發送給目標用戶。而在其中的一個SWF文件中，附帶有這一Flash 0 day漏洞的惡意代碼。

卡巴斯基實驗室的安全研究人員表示，Flash Player用于解析ExecPolicy元數據信息的代碼中存在有設計缺陷。攻擊者可以向Flash程序中存儲的鍵值對賦予無效的值，然后讓程序出現內存崩潰等問題。這樣一來，攻擊者就可以在被感染的計算機系統中執行惡意代碼了。

StarCruft黑客組織會強行向目標主機注入一個名為“yay_release.dll”的dlL文件，攻擊者需要在Flash Player中加載這一文件。在這個dlL文件中，包含有惡意代碼，其中的惡意代碼可以繞過目標主機中安全防護產品的檢測。

除了上述的這一漏洞之外，卡巴斯基實驗室在今年檢測到了另外一個0 day漏洞。通過這一漏洞，攻擊者可以利用Windows DDE組件來創建惡意程序。而值得注意的是，反病毒軟件和安全防護產品都無法檢測到這種類型的惡意程序。

卡巴斯基實驗室解釋到，公司在今年年初更新了自己的安全防護產品，而此次更新也讓安全研究人員檢測到了這一0 day漏洞。

Windows DDE是一種動態數據交換機制（Dynamic Data Exchange，DDE）。使用DDE通訊需要兩個Windows應用程序，其中一個作為服務器處理信息，另外一個作為客戶機從服務器獲得信息。客戶機應用程序向當前所激活的服務器應用程序發送一條消息請求信息，服務器應用程序根據該信息作出應答，從而實現兩個程序之間的數據交換。

卡巴斯基實驗室表示，在這種特殊情況下，攻擊者使用了一種此前從未見過的DDE利用方式。StarCruft的黑客會利用惡意yay_release.dll文件讓Windows DDE創建一個LNK文件，并通過這一文件來執行惡意代碼。

這個LNK文件將會運行一個VBS腳本，該腳本會連接到一個惡意網站，并下載一個CAB文件。在這個文件中，包含有一個非常罕見的木馬病毒，目前只有StarCruft黑客組織在攻擊過程中使用過這種木馬。

攻擊者已經利用這一0 day進行了超過二十多次的網絡攻擊

安全廠商指出，StarCruft的黑客使用了這一Flash 0 day漏洞來對目標用戶進行監視，這些用戶包括亞洲國家的執法機構，亞洲貿易公司的員工，一家位于迪拜最大的購物中心之中的餐館，還有美國移動廣告公司。除此之外，StarCruft APT還對國際田徑協會的成員進行了有針對性的網絡間諜活動。

卡巴斯基實驗室的Costin Raiu和Anton Ivanov在近期發表的一篇博客文章中寫到：“目前，利用Flash Player來進行攻擊活動的事件數量已經大大減少了。這是因為在大多數情況下，攻擊者如果想要利用Flash漏洞，還必須要利用沙盒來繞過系統中的某些防護機制，而這一部分的操作是相當棘手的。”

除此之外，這兩名安全研究專家還表示：“Adobe公司一直都在努力，他們一直都在研發新的安全保護技術來增強Flash Player軟件的安全性能。”

由于這一漏洞與Windows DDE有關，所以卡巴斯基實驗室已經將相關信息報告給了微軟公司。值得注意的是，雖然攻擊者可以利用Windows DDE來躲避某些反病毒軟件的檢測，但是我們可以使用微軟的EMET來檢測并防止這類攻擊的發生。該軟件是微軟為應對互聯網中層出不窮的漏洞而推出的一款安全保護工具。它可以通過數據執行保護（DEP）、結構化異常處理覆蓋保護（SEHOP）和隨機地址空間分配（ASLR）等技術，使用戶即使在未安裝補丁的情況下也可以免受攻擊。