重大資安事件 - 資安趨勢部落格

又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

2015 年 07 月 12 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密（WikiLeaks）公布了Hacking Team內部超過100萬筆電子郵件，並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在連續兩個 Adobe Flash Player 零時差漏洞因 Hacking Team 資料外洩事件而曝光之後，趨勢科技又發現了另一個 Adobe Flash Player 零時差漏洞 (CVE-2015-5123)。Adobe 在接獲我們通報之後已發布了一項安全公告。此漏洞的分類為重大漏洞，因為駭客一旦攻擊成功，就可能取得系統的掌控權。此漏洞的影響層面涵蓋 Windows、Mac 和 Linux 平台上的所有 Adobe Flash 版本。

問題根源分析

根據趨勢科技的分析，此漏洞一樣是valueOf 技巧所導致的問題。不過有別於前兩個 Flash 零時差漏洞的是，它利用的是 BitmapData 物件，而非 TextLine 和 ByteArray。

以下是觸發該漏洞的步驟：

建立一個新的 BitmapData 物件，準備好兩個 Array 物件，產生兩個新的 MyClass 物件，然後將 MyClass 物件分別指派至前面兩個 Array 物件。
覆寫 MyClass 物件的 valueOf 函式，然後呼叫 paletteMap 並傳入前述兩個 Array 當成參數。BitmapData.paletteMap 將觸發 valueOf 函式。
在 valueOf 函式中呼叫 dispose() 來釋放 BitmapData 物件的記憶體，導致 Flash Player 當掉。

目前趨勢科技正密切監控是否有任何駭客攻擊運用到這項概念驗證 (POC) 漏洞。一有最新消息或新的發現，我們會立即更新這篇文章。由於 Hacking Team 資料外洩事件已經廣為公開，因此使用者已有遭到攻擊的危險。所以，建議使用者暫時先停用 Adobe Flash Player，直到 Adobe 釋出修補程式為止。繼續閱讀

Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光

2015 年 07 月 11 日2015 年 07 月 13 日趨勢科技 TrendMicro

Hacking Team 資料外洩事件前一個曝光的零時差漏洞 (CVE-2015-5119) 熱潮還未消退，另一個同樣危險的 Adobe Flash Player 漏洞 (CVE-2015-5122) 就浮上檯面。此漏洞一旦遭到攻擊，可能導致系統當機，並讓駭客取得系統控制權。此外，與CVE-2015-5119 相同的是，所有 Windows、Mac 及 Linux 最新版的 Flash (18.0.0.203) 都含有此漏洞。

這是一個新的漏洞，並未包含在先前我們未修補的 Flash Player 漏洞以及其他 Hacking Team 資料外洩事件當中發現的概念驗證攻擊一文所討論的兩個 Flash 漏洞和 Windows 核心漏洞當中。

好消息是：此漏洞目前還在概念驗證階段，所以我們還在觀察是否有任何攻擊已運用該漏洞。壞消息是：該漏洞目前尚無修補程式，不過我們在確認此漏洞的真實性之後便立即通報了 Adobe (台北時間 7 月 11 日上午10:30)，因此相信很外就會有修補程式。Adobe也在台北時間當天上午11:40針對此漏洞發布了安全公告。

這漏洞到底如何運作？

經過仔細分析，我們發現這是一個利用 TextBlock.createTextLine() 和 TextBlock.recreateTextLine(textLine) 兩個函式來製造使用已釋放物件情況的漏洞。

觸發此漏洞的程式碼為：my_textLine.opaqueBackground = MyClass_object。實際情況是：MyClass.prototype.valueOf 被覆寫，因此使得 valueOf 函式會呼叫 TextBlock.recreateTextLine(my_textLine)。然後 my_textLine 在釋放之後又被用到。

由於我們是在x86環境上利用偵錯 (debugging) 來追蹤這個漏洞，因此觸發漏洞的是 MyClass32 這個類別。漏洞攻擊函式本身則為 MyClass32 的 TryExpl。

以下說明漏洞攻擊的步驟：

我們有一個新的 Array 物件，名為 _ar，設定 _ar 的長度為 _arLen = 126。使用 Vector.<uint> 來設定 _ar[0…29] 的數值，Vector 長度為 0x62。使用 Vector.<uint> 來設定 _ar[46…125] 的數值，Vector 長度為 0x8。將 _ar[30….45] 的數值設為 textLine，使用 _tb.createTextLine() 來產生 textLine，並將 textLine.opaqueBackground 設為 1。

繼續閱讀

Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!

2015 年 07 月 09 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件與資料被公開。趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具，目前發現的3款攻擊程式中，有兩款鎖定Flash Player的安全漏洞，一款鎖定Windows核心漏洞。(詳情)

從趨勢科技主動式雲端截毒服務 Smart Protection Network回報的資料中發現，Angler 和 Nuclear 兩個漏洞攻擊套件已經收錄了最近 Hacking Team 資料外洩當中的 Flash 零時差漏洞攻擊。不僅如此，Kafeine 網站也指出，這項零時差攻擊也已收錄到 Neutrino 漏洞攻擊套件當中。

此漏洞的存在因為 Hacking Team 的資料外洩而曝光，而 Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中，編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。

所有 Flash Player 使用者皆應立即下載最新修正程式，否則將有危險。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高，而這樣的趨勢似乎沒有轉變的跡象。

圖 1：Angler 漏洞攻擊套件的 HTTP GET 標頭

繼續閱讀

備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式

2015 年 07 月 09 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件與資料被公開。曾表示不跟極權國家做生意,以販售號稱合法攔截通訊工具給政府和執法機構的義大利公司Hacking Team, 始終沒有正式公布與他們合作單位的名單，在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件，根據International Business Time報導，使用其提供的程式的國家包含：
埃及、依索比亞、摩洛哥、奈及利亞、蘇丹、智利、哥倫比亞、厄瓜多、洪都拉斯、墨西哥、巴拿馬、美國、亞塞拜然、哈薩克斯坦、馬來西亞、蒙古、新加坡、韓國、泰國、烏茲別克斯坦、越南、澳大利亞、賽普勒斯、捷克、德國、匈牙利、義大利、盧森堡、波蘭、俄羅斯、西班牙、瑞士、巴林、阿曼、沙烏地阿拉伯、阿拉伯聯合大公國。

趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具，目前發現的3款攻擊程式中，有兩款鎖定Flash Player的安全漏洞，一款鎖定Windows核心漏洞，且當中只有一個Flash漏洞曾被揭露。

另一款Flash零時差漏洞被Hacking Team描述為「最近4年來最完美的Flash漏洞」。在文件中發現了針對此一漏洞概念性驗證攻擊程式，它會影響各大瀏覽器及Flash Player 9以後的版本，包含最新的Adobe Flash 18.0.0.194在內。

事實上這個Flash漏洞,先前已經有幾個漏洞使用這種 valueOf 伎倆，包括被用在 Pwn2Own 2015的 CVE-2015-0349。

圖1、Hacking Team對漏洞的描述

Adobe Flash Player漏洞資訊

外洩的資料中包含一個可以啟動Windows計算機的Flash零時差概念證明碼（POC）以及一個帶有真正攻擊shellcode的正式版本。

在POC中有一個說明文件詳述了這個零時差漏洞（如下圖所示）。它指出該漏洞可以影響Adobe Flash Player 9及更新的版本，而且桌面/Metro版本的IE、Chrome、Firefox和Safari都會受到影響。外部報告指出最新版本的Adobe Flash（版本18.0.0.194）也受到影響。

圖2、Hacking Team對漏洞的描述

Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中，編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。

所有 Flash Player 使用者皆應立即下載最新修正程式，否則將有危險。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高，而這樣的趨勢似乎沒有轉變的跡象。

根本原因分析

說明文件還介紹了該漏洞的根本原因。這是一個ByteArray類別的Use-After-Free（UAF）漏洞:

當你有一個ByteArray物件ba，並將其給值ba[0]=Object，它會呼叫此物件的valueOf函數
這valueOf函數可以被覆寫，所以能夠變更物件valueOf函數中的ba值
如果你重新分配valueOf函數內的ba記憶體，就會導致UAF，因為ba[0]=Object會儲存原本的記憶體，並且在valueOf函數被呼叫後使用。

繼續閱讀

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

2015 年 05 月 07 日2015 年 10 月 14 日趨勢科技 TrendMicro

Pawn Storm活動激增，鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）行動在新的一年突然爆炸性成長，導入了新的基礎架構，同時也開始鎖定北大西洋公約組織 (NATO) 會員國，甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報，同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

Pawn Storm 攻擊行動：背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動，其目標相當廣泛，包括：軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客，至少從 2007 年開始即活躍至今，其犯案模式非常固定。我們為所取的名稱，是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法，與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件，文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式；第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式，讓瀏覽者感染前述的惡意程式；最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體，此外，烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月，趨勢科技觀察到 Pawn Storm 又有新的動作，並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式。

繼續閱讀