爆發今年第三波Flash player 0-day攻擊,”毒針行動”隨俄烏衝突竄起

圖片來源:https://www.sensorstechforum.com/wp-content/uploads/2014/11/Adobe-Issues-and-Emergency-Flash-Player-Update.jpg

回顧今年3次Flash player 0-day攻擊,均伴隨區域衝突發生,2月於朝鮮半島,6月在中東(卡達交惡四鄰),11月底烏克蘭與俄羅斯海軍衝突後,旋即爆發Operation Poison Needles(毒針行動),據信烏克蘭駭客利用Flash的use-after-free漏洞,採取一系列連鎖攻擊,以社交工程誘騙莫斯科Polyclinic No.2醫院職員,開啟office文件(22.docx)後直接觸發弱點,嵌入的惡意Flash物件在受害主機上執行程式碼,獲得管理權並操作command line,解壓縮偽裝之scan042.jpg,再解壓後門程式backup.exe,擁有與NVIDIA顯示卡Control Panel程式一致特徵,相當逼真,且backup.exe能常駐作業系統,蒐集受害主機軟硬體資訊,監控鍵盤滑鼠活動,偵測防毒軟體,苗頭不對還能啟動自毀滅跡,Adobe已迅速反應,於12月5日升級新版,並順帶修補DLL hijacking缺失。儘管該事件影響對像為俄籍人士,然該入侵技術能適用新舊版Windows,且不分與32、64位元,若惡意組織針對Flash player的探勘途徑,加以武裝化,仍形成嚴重威脅,敦請金融、醫療、公務機關火速更新。

影響產品:Flash Player 31.0.0.153以前版本

解決辦法:

  • 取得Flash Player 32.0.0.101,啟動Adobe Flash Player自動更新,或於官網下載升級版,連結為https://get.adobe.com/flashplayer/。
  • 對無法判別真偽之Office檔案,以「受保護的檢視」進行唯讀開啟模式。

資料來源:

回到頂端