騰訊科技訊 近日,騰訊御見威脅情報中心捕獲一例Flash 0day漏洞(CVE-2018-5002)野外攻擊并迅速上報。6月7日,Adobe官方發布安全公告回應,確認該漏洞的存在,并將Adobe Flash Player升級到30.0.0.113版本。公告同時對騰訊電腦管家安全團隊為發現該漏洞做出的貢獻表示了感謝。
6月8日上午,騰訊安全遵循行業標準漏洞披露程序,正式對外披露Flash 0day漏洞(CVE-2018-5002)利用原理,并指出該漏洞利用或將引發大規模掛馬攻擊,為上網安全建議廣大網友盡快升級Flash Player并做好安全防御。
(Adobe發布安全公告致謝騰訊安全團隊)
漏洞利用規則簡單或引發大規模掛馬攻擊
Adobe作為中國網民裝機必備的軟件,其Flash Player在Windows、Mac等系統上都有著廣泛的應用,Flash漏洞更因此成為不法黑客們最常利用的漏洞之一。
騰訊安全發布技術分析報告顯示,本次被披露的CVE-2018-5002是由于Flash未能正確處理包含特殊字節碼序列的SWF文件時產生的棧越界讀寫漏洞,同時該漏洞的利用規則簡單,一個樣本能夠同時在32位和64位系統中穩定運行。
在騰訊安全捕獲的最新攻擊樣本中,不法黑客使用了一份被命名為《basic_salary.xlsx》的誘餌文檔,其主要內容是阿拉伯語言撰寫的外交部官員基本工資情況,疑似為針對阿拉伯語國家相關政府部門的魚叉攻擊。一旦用戶不慎點開誘餌文檔,便會啟動Flash文件(SWF1)并下載攜帶0day漏洞攻擊代碼的Flash文件(SWF2)。通過該漏洞利用,不法黑客可輕易實現對目標計算機系統的攻擊。
(騰訊安全團隊捕獲APT攻擊樣本的攻擊流程)
安全專家指出,由于Adobe Flash Player幾乎安裝在每一臺電腦上,根據以往經驗,往往會有大量用戶并不能做到及時修補安全漏洞。一旦該漏洞為網絡黑產所掌握,極有可能產生大規模的網頁掛馬攻擊,造成的后果難以預估。
企業信息系統成重點攻擊目標騰訊御界率先防御
通過對攻擊樣本進行分析,騰訊企業安全技術專家認為,在利用方法未被廣泛傳播之前,該漏洞仍將主要被技術實力強勁的APT組織所掌握,國家機關、科研機構及大型企業的信息系統或將成為重點攻擊目標。
目前,騰訊御界高級威脅檢測系統已經可以檢測并阻斷該輪攻擊的連接行為。騰訊企業安全技術專家建議各企業、政府機構用戶,盡快將Flash Player升級到30.0.0.113版本,并使用御界高級威脅檢測系統等終端安全管理軟件防御此類攻擊。
(騰訊御界高級威脅檢測系統實時檢測APT攻擊威脅)
御界高級威脅檢測系統,是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。憑借基于行為的防護和智能模型兩大核心能力,御界高級威脅檢測系統可高效檢測未知威脅,并通過對企業內外網邊界處網絡流量的分析,感知漏洞的利用和攻擊。
不只是Adobe,騰訊安全團隊因發現并協助修復漏洞還獲得過微軟、蘋果、聯想等巨頭的致謝。據統計,僅2017年11月,騰訊安全旗下騰訊安全聯合實驗室玄武實驗室、湛瀘實驗室、騰訊安全平臺、騰訊電腦管家等安全團隊就為Adobe提供了總計37個漏洞,成為當月安全公告中獲得漏洞致謝次數最多的安全廠商。
當前網絡安全形勢變幻莫測,以騰訊電腦管家安全團隊為代表的中國安全行業的技術能力受到全球矚目,更極大地提振了網民對抗網絡病毒黑產的信心。未來,騰訊安全將在技術研發、產品創新、產業合作等層面持續深耕,不斷對外輸出安全技術能力,幫助更多的個人、企業防御和消除各類安全隱患,保障海量用戶的上網安全。
