系統與平台安全 回到資安Q&A
Q
Adobe又出現零時差(0 day)漏洞了,該怎麼辦?
最近又出現內嵌在Word上的Adobe Flash漏洞,可是目前還沒有出現修補的方法,這到底該怎麼預防?又是一種什麼樣的漏洞?有什麼影響?在patch出現之前,我可以做什麼樣的補救來避免資安威脅嗎?
提問時間: 04/19/2011
A
值班醫師回應

最近這次Adobe爆出的Flash Player的零時差漏洞CVE-2011-0611,該漏洞影響範圍近乎是所有系統平台的Adobe Flash Player版本,僅有少數於Unix-Like、Android上運行的Flash版本不受影響,該漏洞主要的攻擊對象為Flash Player,但攻擊途徑不光是透過瀏覽器瀏覽網頁開啟Flash這個方式,目前已知手法可透過嵌入有問題的swf至Word、Excel、PDF內來引誘使用者執行觸發惡意代碼,這種手法使得攻擊的縱深擴大更加難以預防。此類型的漏洞又是惡意人士在進行網路釣魚、社交工程等攻擊時慣的手法之一,在一般人的思維上會認為只要避免瀏覽Flash即可,但相信沒有人會事先預測收到的Word、Excel檔內嵌入了具攻擊代碼的Flash檔案,最後導致系統被植入木馬後門、遭遠端操控等重大問題。

此漏洞可利用來透過內嵌Flash swf Object於Doc檔中,在開啟Doc檔案同時觸發,在惡意代碼的部份乃透過Adobe Flash Player的漏洞,經由Heap-Spray攻擊方式嵌入的惡意代碼跳脫ASLR隨機記憶體編列(Address Space Layout Randomization)的保護機制,故原本具此保護機制安全性較佳之系統(Windows Vista, Windows 7 / Unix-Like)均淪陷於此漏洞攻擊下。

根據網路上目前已知的樣本資訊分析,透過E-Mail寄出包含惡意檔案信件,進行釣魚的IP來源相當的廣泛,有來自於UK、US、KR、SG、JP甚至是源自於TW的IP,而在檔案命名上也相當獨特,例如:首場政見會後最新民調略升-蔡X文粉絲團~聲援.doc、Fukushima(福島).doc、日志分析.doc 等等,但不論是從何處發出的信件範本,最後回連的地方卻是同一個IP位址123.123.123.123 (CN Beijing)且走的協定是SSL,推測攻擊者應當已製作了一個符合時事的語系命名產生器,且台灣看來也是這位漏洞發現者攻擊的目標之一呢。

針對此漏洞的預防措施,目前具此漏洞運行的程序層級權限是並非是在Kernel-Level,所以部份具Sandbox技術的程式可以防止此惡意代碼執行存取攻擊必要之元件,但綜觀Flash使用的廣泛程度,並非所有的載具均具有Sandbox的保護機制(如FireFox、Opera、Safari等),建議在Adobe原廠提供此漏洞之更新前,使用者除了需注意避免開啟可疑檔案、隨時更新防毒程式降低遭受攻擊之可能性外,暫時治本的緩兵之計或許只剩下暫時將Adobe Flash Player暫時關閉或移除,待Adobe釋出更新版本之後再重新使用。

資安急診室醫師介紹
資安技術顧問
主要負責資安事件應變處理、滲透測試、入侵事件分析,3年資安工作經驗。專長為網頁應用程式相關安全技術。
文章回應話題
發表者:lol 發表日期:05/15/2017
那eyny前陣子死一片是在死假的嗎...
發表者:dmo 發表日期:03/10/2017
flash不流行了啦 現在大家都用html5囉
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字