最新Flash 0 day漏洞可利用Windows DDE协议

这周，Adobe公司修复了一个0 day漏洞(CVE-2016-4171)。根据俄罗斯安全厂商卡巴斯基实验室提供的信息，通过这一漏洞，攻击者可以利用Windows DDE协议来传播恶意软件，并进行有针对性的网络间谍攻击。

在上周二，安全研究人员曝光了这一新型Flash 0 day漏洞，而在两天之后，Adobe公司发布了Flash Player 22.0.0.192，并在这一版本中修复了这一0 day漏洞。除此之外，这一新版Flash Player还修复了其它的35个安全漏洞。

StarCruft APT黑客组织目前正在进行两项网络间谍活动

安全公司卡巴斯基实验室发现了这个0 day漏洞，该公司的安全研究人员在其针对这一漏洞的初步报告中表示，代号为“StarCruft”的网络间谍组织一直都在利用这一漏洞进行网络攻击。

该组织已经进行了多个网络攻击活动，而在此之前，卡巴斯基实验室一只都在追踪“Operation Erebus”和“Operation Daybreak”这两项网络间谍活动。

据了解，在最近的“Operation Daybreak”网络间谍活动中，攻击者利用了这一0 day漏洞来实施攻击。卡巴斯基实验室的安全研究人员还发现，除了这一0 day漏洞之外，该黑客组织还利用了另外两个Adobe漏洞(CVE-2016-4117和CVE-2016-0147)，以及一个IE浏览器漏洞。对于“Operation Erebus”网络间谍活动，卡巴斯基实验室则表示，攻击者只利用了漏洞CVE-2016-4117，并结合了“水坑攻击”来对目标进行攻击。

攻击者利用网络钓鱼邮件来让目标用户感染恶意软件

在“Operation Daybreak”网络间谍活动中，黑客组织StarCruft使用了网络钓鱼邮件。这些恶意邮件中包含有一个恶意链接，从表面上看该链接可以将用户的网络流量重定向至网页中嵌入的PDF文件，但实际上该页面还加载有漏洞利用工具。

当用户访问了这些URL地址之后，恶意网站会将三个包含有Flash漏洞的SWF文件发送给目标用户。而在其中的一个SWF文件中，附带有这一Flash 0 day漏洞的恶意代码。

卡巴斯基实验室的安全研究人员表示，Flash Player用于解析ExecPolicy元数据信息的代码中存在有设计缺陷。攻击者可以向Flash程序中存储的键值对赋予无效的值，然后让程序出现内存崩溃等问题。这样一来，攻击者就可以在被感染的计算机系统中执行恶意代码了。

StarCruft黑客组织会强行向目标主机注入一个名为“yay_release.dll”的DLL文件，攻击者需要在Flash Player中加载这一文件。在这个DLL文件中，包含有恶意代码，其中的恶意代码可以绕过目标主机中安全防护产品的检测。

除了上述的这一漏洞之外，卡巴斯基实验室在今年检测到了另外一个0 day漏洞。通过这一漏洞，攻击者可以利用Windows DDE组件来创建恶意程序。而值得注意的是，反病毒软件和安全防护产品都无法检测到这种类型的恶意程序。

卡巴斯基实验室解释到，公司在今年年初更新了自己的安全防护产品，而此次更新也让安全研究人员检测到了这一0 day漏洞。

Windows DDE是一种动态数据交换机制（Dynamic Data Exchange，DDE）。使用DDE通讯需要两个Windows应用程序，其中一个作为服务器处理信息，另外一个作为客户机从服务器获得信息。客户机应用程序向当前所激活的服务器应用程序发送一条消息请求信息，服务器应用程序根据该信息作出应答，从而实现两个程序之间的数据交换。

卡巴斯基实验室表示，在这种特殊情况下，攻击者使用了一种此前从未见过的DDE利用方式。StarCruft的黑客会利用恶意yay_release.dll文件让Windows DDE创建一个LNK文件，并通过这一文件来执行恶意代码。

这个LNK文件将会运行一个VBS脚本，该脚本会连接到一个恶意网站，并下载一个CAB文件。在这个文件中，包含有一个非常罕见的木马病毒，目前只有StarCruft黑客组织在攻击过程中使用过这种木马。

攻击者已经利用这一0 day进行了超过二十多次的网络攻击

安全厂商指出，StarCruft的黑客使用了这一Flash 0 day漏洞来对目标用户进行监视，这些用户包括亚洲国家的执法机构，亚洲贸易公司的员工，一家位于迪拜最大的购物中心之中的餐馆，还有美国移动广告公司。除此之外，StarCruft APT还对国际田径协会的成员进行了有针对性的网络间谍活动。

卡巴斯基实验室的Costin Raiu和Anton Ivanov在近期发表的一篇博客文章中写到：“目前，利用Flash Player来进行攻击活动的事件数量已经大大减少了。这是因为在大多数情况下，攻击者如果想要利用Flash漏洞，还必须要利用沙盒来绕过系统中的某些防护机制，而这一部分的操作是相当棘手的。”

除此之外，这两名安全研究专家还表示：“Adobe公司一直都在努力，他们一直都在研发新的安全保护技术来增强Flash Player软件的安全性能。”

由于这一漏洞与Windows DDE有关，所以卡巴斯基实验室已经将相关信息报告给了微软公司。值得注意的是，虽然攻击者可以利用Windows DDE来躲避某些反病毒软件的检测，但是我们可以使用微软的EMET来检测并防止这类攻击的发生。该软件是微软为应对互联网中层出不穷的漏洞而推出的一款安全保护工具。它可以通过数据执行保护（DEP）、结构化异常处理覆盖保护（SEHOP）和随机地址空间分配（ASLR）等技术，使用户即使在未安装补丁的情况下也可以免受攻击。