快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

CVE-2016-1019 Flash漏洞被加入漏洞利用工具包“豪华午餐”

4月2号,安全研究员@Kafeine  发现Magnitude漏洞的利用工具包有一些变化 。很感谢他发现与收集的这些样本,我们分析了他们并且发现Magnitude工具包中更新了一个未知的Adobe Flash Player(CVE-2016-1019)漏洞。该漏洞可以造成最新版本的Flash Player远程代码执行,  但事实上最新版本(21.0.0.197)其实是可以阻止该漏洞利用,因为Adobe在版本21.0.0.182的Flash Player中引入了新的漏洞缓和机制,这个是一个不错的创新。

因此可以说在漏洞利用工具包的作者发觉前,Adobe就将这个潜在的漏洞修复了。

漏洞传递链

 Magnitude EK最近更新了传递链。增加了一个像Angler EK的外侧入口,可以收集屏幕尺寸大小和颜色深度(图1)

图片1.png 

图1 JS外侧入口

服务器的回复是另一个侧写页面,这个是为了避免从虚拟机向用户浏览器发送漏洞,或者避免一些已安装的杀毒软件(图2)。在附录中可以看到完整的活动列表。

图片2.png 

图2 JS重连漏洞主页面

在我们的测试中,Magnitude EK传递的是JSON重释放漏洞(CVE-2015-2419)以及微型Flash加载器随后利用这个新的Flash漏洞(图3)。

 图片3.png

图3 JS加载漏洞

Flash漏洞

这个漏洞是由于一个未公开的API函数ASnative的内存破坏导致的,会使得攻击者可以控制Flash在内存中分配的内存缓冲区。攻击者可以创建一个长度为0xFFFFFFFF大小的ByteArray,通过这个就可以读写任意的内存,如图4。漏洞利用代码布局和一些功能和HackTeam的利用方式非常相似,他们从服务器下载恶意文件随后执行。

 图片4.png

图4 Flash漏洞的ActionScript

结论

事实上,这已经不是第一次由于新开发的漏洞缓和趋势研究使得未被披露的零日攻击无效了。

不过即使进行了常规的漏洞更新,攻击者还是继续以Flash Player作为攻击目标,主要是因为它应用的很普遍而且具有跨平台的特征。所以如果你的环境需要安装Flash Player,最好确保已经更新至最新的版本,可以使用微软的EMET漏洞缓和工具。

注:原文相关附录过长,感兴趣的同学可以点击参考来源查看。

*参考来源:fireeye ,老王隔壁的白帽子翻译,,数据库黑客

您可能还会对下面的文章感兴趣: