6 月 8 日消息,Adobe 昨天晚间官方发布公告,宣布紧急发布安全补丁,修复最新被发现的 Flash 高危漏洞,并对发现这一漏洞利用的 360 核心安全高级威胁应对团队公开致谢。
作为全球最早捕获使用 Flash 零日漏洞的 APT 攻击的安全团队,360 核心安全高级威胁应对团队发现,此次进行 APT 攻击的黑客,构造了一个利用远程加载漏洞的 Office 文档,用户只要打开文档,攻击者就能够自动远程下发漏洞利用代码。
图:Adobe 官方致谢 360 核心安全高级威胁应对团队
360 安全专家介绍,攻击者首先伪造一个类似工资表的文档,十分具有诱惑性。攻击者通过 activex 控件和数据嵌入了一个远程的 flash 文件链接,用户只要打开文档,远程服务器脚本就会下发漏洞攻击代码。
用户运行该文档后,会自动下载释放恶意文件,文件再次请求服务端,下载加密数据以及解密 KEY,动态执行恶意代码。
图:攻击流程图
360 核心安全高级威胁应对团队通过分析攻击者 IP 地址、域名注册时间等信息发现,此次 APT 攻击至少筹备了三个月以上的时间,并且,攻击代码经过高度混淆,还伪装域名,企图“钓鱼”,是一起典型的蓄谋已久的 APT 攻击。
360 核心安全高级威胁应对团队是全球率先捕获此 APT 攻击的安全团队,并在攻击样本中成功定位到了零日漏洞攻击代码。这也是今年出现的第二波利用 Flash 零日漏洞的在野攻击。
捕获此次 APT 攻击行为之后,360 安全团队向 Adobe 官方反馈了漏洞与攻击情况,因此获得了 Adobe 在官方公告中的公开致谢。360 安全中心提醒用户,相关单位和普通用户都需提高安全防范意识,及时更新 Flash 版本。该漏洞目前影响 Adobe Flash Player 29.0.0.171 及其以下版本。请勿随意打开未知来路的 office 文档。