趨勢科技 TrendMicro – 第 528 頁

又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

2015 年 07 月 12 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密（WikiLeaks）公布了Hacking Team內部超過100萬筆電子郵件，並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在連續兩個 Adobe Flash Player 零時差漏洞因 Hacking Team 資料外洩事件而曝光之後，趨勢科技又發現了另一個 Adobe Flash Player 零時差漏洞 (CVE-2015-5123)。Adobe 在接獲我們通報之後已發布了一項安全公告。此漏洞的分類為重大漏洞，因為駭客一旦攻擊成功，就可能取得系統的掌控權。此漏洞的影響層面涵蓋 Windows、Mac 和 Linux 平台上的所有 Adobe Flash 版本。

問題根源分析

根據趨勢科技的分析，此漏洞一樣是valueOf 技巧所導致的問題。不過有別於前兩個 Flash 零時差漏洞的是，它利用的是 BitmapData 物件，而非 TextLine 和 ByteArray。

以下是觸發該漏洞的步驟：

建立一個新的 BitmapData 物件，準備好兩個 Array 物件，產生兩個新的 MyClass 物件，然後將 MyClass 物件分別指派至前面兩個 Array 物件。
覆寫 MyClass 物件的 valueOf 函式，然後呼叫 paletteMap 並傳入前述兩個 Array 當成參數。BitmapData.paletteMap 將觸發 valueOf 函式。
在 valueOf 函式中呼叫 dispose() 來釋放 BitmapData 物件的記憶體，導致 Flash Player 當掉。

目前趨勢科技正密切監控是否有任何駭客攻擊運用到這項概念驗證 (POC) 漏洞。一有最新消息或新的發現，我們會立即更新這篇文章。由於 Hacking Team 資料外洩事件已經廣為公開，因此使用者已有遭到攻擊的危險。所以，建議使用者暫時先停用 Adobe Flash Player，直到 Adobe 釋出修補程式為止。繼續閱讀

Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光

2015 年 07 月 11 日2015 年 07 月 13 日趨勢科技 TrendMicro

Hacking Team 資料外洩事件前一個曝光的零時差漏洞 (CVE-2015-5119) 熱潮還未消退，另一個同樣危險的 Adobe Flash Player 漏洞 (CVE-2015-5122) 就浮上檯面。此漏洞一旦遭到攻擊，可能導致系統當機，並讓駭客取得系統控制權。此外，與CVE-2015-5119 相同的是，所有 Windows、Mac 及 Linux 最新版的 Flash (18.0.0.203) 都含有此漏洞。

這是一個新的漏洞，並未包含在先前我們未修補的 Flash Player 漏洞以及其他 Hacking Team 資料外洩事件當中發現的概念驗證攻擊一文所討論的兩個 Flash 漏洞和 Windows 核心漏洞當中。

好消息是：此漏洞目前還在概念驗證階段，所以我們還在觀察是否有任何攻擊已運用該漏洞。壞消息是：該漏洞目前尚無修補程式，不過我們在確認此漏洞的真實性之後便立即通報了 Adobe (台北時間 7 月 11 日上午10:30)，因此相信很外就會有修補程式。Adobe也在台北時間當天上午11:40針對此漏洞發布了安全公告。

這漏洞到底如何運作？

經過仔細分析，我們發現這是一個利用 TextBlock.createTextLine() 和 TextBlock.recreateTextLine(textLine) 兩個函式來製造使用已釋放物件情況的漏洞。

觸發此漏洞的程式碼為：my_textLine.opaqueBackground = MyClass_object。實際情況是：MyClass.prototype.valueOf 被覆寫，因此使得 valueOf 函式會呼叫 TextBlock.recreateTextLine(my_textLine)。然後 my_textLine 在釋放之後又被用到。

由於我們是在x86環境上利用偵錯 (debugging) 來追蹤這個漏洞，因此觸發漏洞的是 MyClass32 這個類別。漏洞攻擊函式本身則為 MyClass32 的 TryExpl。

以下說明漏洞攻擊的步驟：

我們有一個新的 Array 物件，名為 _ar，設定 _ar 的長度為 _arLen = 126。使用 Vector.<uint> 來設定 _ar[0…29] 的數值，Vector 長度為 0x62。使用 Vector.<uint> 來設定 _ar[46…125] 的數值，Vector 長度為 0x8。將 _ar[30….45] 的數值設為 textLine，使用 _tb.createTextLine() 來產生 textLine，並將 textLine.opaqueBackground 設為 1。

繼續閱讀

當心勒索軟體利用Hacking Team 外洩的 Adobe Flash漏洞發動攻擊

2015 年 07 月 10 日2015 年 07 月 14 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密（WikiLeaks）公布了Hacking Team內部超過100萬筆電子郵件，並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在過去幾天裡,備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式,此事件導致其資料被公開的事件已經有了許多的討論。而人們最需要知道的事情是此次攻擊讓另一個新的Adobe Flash漏洞被公諸於世（CVE-2015-5119）。

趨勢科技的研究人員已經發現有攻擊者將這新的漏洞加進漏洞攻擊包以做為攻擊的武器。最嚴重的風險是這種攻擊可能會被用來感染第三方廣告伺服器，與我們在2015年第一季所看到的趨勢相符合。

這個漏洞影響所及遍布所有版本的Adobe Flash。Adobe Flash遭到入侵後可能會當掉，駭客也可能取得受害系統的控制權。Adobe已經發布了一則安全公告並建議用戶儘速套用安全性更新。

談到針對此漏洞的攻擊，趨勢科技根據主動式雲端截毒技術的資料獲知，Angler攻擊套件與Nuclear攻擊套件皆已可攻擊此漏洞；此外，據信Neutrino攻擊套件也具備同樣能力。

最近對台灣造成重大影響的勒索軟體 Ransomware也可能透過此漏洞進行攻擊，並針對重要檔案進行加密。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵，利用此漏洞植入後門程式，趨勢科技用戶只要啟用網頁信譽評等服務，即可攔截這些受駭網站。

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助，請您聯絡趨勢科技技術支援部。

趨勢科技的客戶有三種方法來防護這種威脅：

趨勢科技Deep Discovery ：具備腳本分析引擎的沙箱技術可以偵測此一威脅的行為而無須更新任何引擎或特徵碼。
趨勢科技PC-cillin雲端版，趨勢科技企業安全套裝軟體和Worry-Free Business Security：瀏覽器漏洞防護功能可以在使用者連到帶有漏洞攻擊碼的網頁時加以封鎖，瀏覽器漏洞防護可以對抗針對瀏覽器或相關外掛程式的漏洞。
趨勢科技Deep Security和趨勢科技OfficeScan：漏洞防護功能現在能夠透過以下規則來防護此漏洞：
- 1006824 – Adobe Flash ActionScript3 ByteArray Use After Free漏洞

Adobe已經提供一個更新以解決此漏洞，所以任何使用Flash的人都該立刻升級。繼續閱讀

Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!

2015 年 07 月 09 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件與資料被公開。趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具，目前發現的3款攻擊程式中，有兩款鎖定Flash Player的安全漏洞，一款鎖定Windows核心漏洞。(詳情)

從趨勢科技主動式雲端截毒服務 Smart Protection Network回報的資料中發現，Angler 和 Nuclear 兩個漏洞攻擊套件已經收錄了最近 Hacking Team 資料外洩當中的 Flash 零時差漏洞攻擊。不僅如此，Kafeine 網站也指出，這項零時差攻擊也已收錄到 Neutrino 漏洞攻擊套件當中。

此漏洞的存在因為 Hacking Team 的資料外洩而曝光，而 Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中，編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。

所有 Flash Player 使用者皆應立即下載最新修正程式，否則將有危險。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高，而這樣的趨勢似乎沒有轉變的跡象。

圖 1：Angler 漏洞攻擊套件的 HTTP GET 標頭

繼續閱讀

備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式

2015 年 07 月 09 日2015 年 07 月 13 日趨勢科技 TrendMicro

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊，總量近400GB的公司內部文件與資料被公開。曾表示不跟極權國家做生意,以販售號稱合法攔截通訊工具給政府和執法機構的義大利公司Hacking Team, 始終沒有正式公布與他們合作單位的名單，在此次洩露的文件中，包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件，根據International Business Time報導，使用其提供的程式的國家包含：
埃及、依索比亞、摩洛哥、奈及利亞、蘇丹、智利、哥倫比亞、厄瓜多、洪都拉斯、墨西哥、巴拿馬、美國、亞塞拜然、哈薩克斯坦、馬來西亞、蒙古、新加坡、韓國、泰國、烏茲別克斯坦、越南、澳大利亞、賽普勒斯、捷克、德國、匈牙利、義大利、盧森堡、波蘭、俄羅斯、西班牙、瑞士、巴林、阿曼、沙烏地阿拉伯、阿拉伯聯合大公國。

趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具，目前發現的3款攻擊程式中，有兩款鎖定Flash Player的安全漏洞，一款鎖定Windows核心漏洞，且當中只有一個Flash漏洞曾被揭露。

另一款Flash零時差漏洞被Hacking Team描述為「最近4年來最完美的Flash漏洞」。在文件中發現了針對此一漏洞概念性驗證攻擊程式，它會影響各大瀏覽器及Flash Player 9以後的版本，包含最新的Adobe Flash 18.0.0.194在內。

事實上這個Flash漏洞,先前已經有幾個漏洞使用這種 valueOf 伎倆，包括被用在 Pwn2Own 2015的 CVE-2015-0349。

圖1、Hacking Team對漏洞的描述

Adobe Flash Player漏洞資訊

外洩的資料中包含一個可以啟動Windows計算機的Flash零時差概念證明碼（POC）以及一個帶有真正攻擊shellcode的正式版本。

在POC中有一個說明文件詳述了這個零時差漏洞（如下圖所示）。它指出該漏洞可以影響Adobe Flash Player 9及更新的版本，而且桌面/Metro版本的IE、Chrome、Firefox和Safari都會受到影響。外部報告指出最新版本的Adobe Flash（版本18.0.0.194）也受到影響。

圖2、Hacking Team對漏洞的描述

Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中，編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。

所有 Flash Player 使用者皆應立即下載最新修正程式，否則將有危險。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高，而這樣的趨勢似乎沒有轉變的跡象。

根本原因分析

說明文件還介紹了該漏洞的根本原因。這是一個ByteArray類別的Use-After-Free（UAF）漏洞:

當你有一個ByteArray物件ba，並將其給值ba[0]=Object，它會呼叫此物件的valueOf函數
這valueOf函數可以被覆寫，所以能夠變更物件valueOf函數中的ba值
如果你重新分配valueOf函數內的ba記憶體，就會導致UAF，因為ba[0]=Object會儲存原本的記憶體，並且在valueOf函數被呼叫後使用。

繼續閱讀