回顧今年3次Flash player 0-day攻擊,均伴隨區域衝突發生,2月於朝鮮半島,6月在中東(卡達交惡四鄰),11月底烏克蘭與俄羅斯海軍衝突後,旋即爆發Operation Poison Needles(毒針行動),據信烏克蘭駭客利用Flash的use-after-free漏洞,採取一系列連鎖攻擊,以社交工程誘騙莫斯科Polyclinic No.2醫院職員,開啟office文件(22.docx)後直接觸發弱點,嵌入的惡意Flash物件在受害主機上執行程式碼,獲得管理權並操作command line,解壓縮偽裝之scan042.jpg,再解壓後門程式backup.exe,擁有與NVIDIA顯示卡Control Panel程式一致特徵,相當逼真,且backup.exe能常駐作業系統,蒐集受害主機軟硬體資訊,監控鍵盤滑鼠活動,偵測防毒軟體,苗頭不對還能啟動自毀滅跡,Adobe已迅速反應,於12月5日升級新版,並順帶修補DLL hijacking缺失。儘管該事件影響對像為俄籍人士,然該入侵技術能適用新舊版Windows,且不分與32、64位元,若惡意組織針對Flash player的探勘途徑,加以武裝化,仍形成嚴重威脅,敦請金融、醫療、公務機關火速更新。
影響產品:Flash Player 31.0.0.153以前版本
解決辦法:
- 取得Flash Player 32.0.0.101,啟動Adobe Flash Player自動更新,或於官網下載升級版,連結為https://get.adobe.com/flashplayer/。
- 對無法判別真偽之Office檔案,以「受保護的檢視」進行唯讀開啟模式。
資料來源:
- https://atr-blog.gigamon.com/wp-content/uploads/2018/12/Untitled-6.gif
- https://www.securityweek.com/russian-hospital-targeted-flash-zero-day-after-kerch-incident
- https://www.youtube.com/watch?v=4OYQyLSVDlU&feature=youtu.be
- https://atr-blog.gigamon.com/2018/12/05/adobe-flash-zero-day-exploited-in-the-wild/
- https://thehackernews.com/2018/12/flash-player-vulnerability.html
- https://www.sensorstechforum.com/cve-2018-15982-adobe-flash/
- http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982_EN
- https://helpx.adobe.com/security/products/flash-player/apsb18-42.html
- https://www.theregister.co.uk/2018/12/05/flash_zeroday_adobe/
- https://zh.wikipedia.org/wiki/VirusTotal
- https://hk.saowen.com/a/7d832c24cdaf856d87876941f8cf854d8739c048aec6c8d16f6667e05a493031
- http://www.p2f.ru/
- https://www.infobyip.com/ipbulklookup.php
- https://securityaffairs.co/wordpress/78712/hacking/cve-2018-15982-flash-zero-day.html
- http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html
- https://get.adobe.com/flashplayer/
