安全研究人员观察到一个广泛且正在进行的垃圾邮件活动,该活动使用恶意文档滥用两个Flash零时差漏洞,这些漏洞可能允许远程执行代码(RCE)和不安全的库加载(DLL劫持)。 Adobe已部署了所需的补丁程序,但建议使用旧系统的用户和公司尽快更新其系统。
[阅读:虚拟补丁:在利用这些漏洞之前先对其进行补丁]
垃圾邮件活动通过网页下载,电子邮件和即时消息发布来分发恶意文档。 经过社会工程设计的电子邮件或消息会发送给用户,其中包含.RAR压缩文件,其中带有.JPG和Microsoft Word文档的伪装成应用程序调查。 打开文档将使Flash ActiveX控件隐藏并嵌入到文档中,并显示一个提示,将漏洞利用包解压缩。
一旦播放,ActiveX将执行从“ scan042.JPG”内部解压缩的附带有效载荷 backup.exe ,支持32位和64位系统的shellcode。 有效负载是从.JPG中提取的一种远程访问木马(RAT),以通过HTTP POST收集系统信息,并利用了两个可能的缺陷。 建立与命令和控制服务器(C&C)的通信后,CVE-2018-15982可用于远程代码执行并获得受感染系统的管理员权限。 同时,CVE-2018-15983可用于DLL劫持,以通过Flash升级特权。
除了.JPG文件中包含可执行文件,它是避免检测的一种可能方法,有效负载还使用VMProtect,以前看到这种技术是用来防止阻塞和逆向工程的工作。 该技术使人想起了今年早些时候黑客团队采用的策略。
[阅读:现在补丁:Giragyt的Mirai新变种通过多种漏洞攻击了16个缺陷]
大多数系统不再需要Flash来加载诸如文档,游戏和视频之类的媒体。 与其他编程语言(例如JavaScript和Silverlight)相反,Flash的技术趋势使用呈恒定的角度下降。 但是,Microsoft Office和其他旧版系统仍然可以加载和执行Flash内容,从而允许软件中的漏洞作为漏洞利用程序继续保持可用。 严重缺陷会影响Adobe Flash Player桌面运行时,适用于Google Chrome的Adobe Flash Player,Microsoft Edge和Internet Explorer 11,所有版本的Adobe Flash Player 31.0.0.153和更低版本,以及Adobe Flash Player安装程序31.0.0.108和更低版本。 据报道,Adobe已于11月29日收到通知,并迅速通知了已部署的解决方案。
[阅读:修补问题及其解决方法]
网络罪犯将继续发现攻击漏洞,特别是在继续使用旧版操作系统的企业中。 仍然有一些方法可以保护您的系统: 使用最新的补丁程序更新系统,以防止漏洞被滥用。 如果补丁不可用,请确保下载可用的虚拟补丁。
趋势科技解决方案
修补只是全面安全策略的开始。 使用诸如趋势科技™深度发现™之类的多层解决方案将有助于提供检测,深入分析,并对当今的隐形恶意软件做出主动响应,并进行实时有针对性的攻击。 它提供了全面的防御措施,旨在通过专用引擎,自定义沙盒以及在整个攻击生命周期中实现无缝关联来保护组织免受针对性攻击和高级威胁。
Trend Micro™趋势科技服务器深度安全防护系统和漏洞防护提供了虚拟补丁程序,可保护端点免受滥用漏洞的威胁。 防毒墙网络版的漏洞保护功能甚至可以在部署补丁程序之前就阻止端点发现和未知的漏洞利用。
趋势科技服务器深度安全防护系统客户受到以下规则的保护:
1009405释放后使用Adobe Flash Player漏洞(CVE-2018-15982)
1004373通过网络共享识别出的DLL侧加载尝试
1009407通过WebDAV检测到可疑的DLL侧加载尝试
趋势科技威胁发现设备(DDI)客户受以下规则保护: DDI规则26 C&C回调尝试
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢