本周二Adobe發(fā)布一個緊急安全更新，建議用戶及管理員修復(fù)Flash Player中編號為CVE-2015-3113的0day漏洞，因為該漏洞正被APT3黑客組織用在大規(guī)模的釣魚攻擊活動中。

 [[137997]]

漏洞詳情

如果該漏洞被攻擊者利用的話，受害者系統(tǒng)可能會被其完全掌控。另外，在windows7或者更低的版本上運行IE、在windows XP上運行Firefox都很容易受到網(wǎng)絡(luò)攻擊。

攻擊者發(fā)送的釣魚郵件中包含一個指向受感染的web服務(wù)器的惡意鏈接，它會提供無害的內(nèi)容或者含有該漏洞的Adobe Flash player文件。前段時間在新加坡也發(fā)現(xiàn)了利用該漏洞的釣魚活動，攻擊方式和這次的完全一樣。一旦受害者點開了釣魚郵件中的URL，就會被重定向到一個感染了惡意程序的托管JavaScript分析腳本的服務(wù)器上。如果受害者下載了惡意的Adobe Flash player SWF文件和FLV文件，則可能會留下一個惡意后門——SHOTPUT、CookieCutter。

被攻擊者利用的漏洞存在于Adobe Flash player解析Flash video(FLV)文件的過程中。該漏洞會使用普通的向量攻擊技術(shù)繞過隨機分配地址空間(ASLR)，使用返回導(dǎo)向編程(ROP)繞過數(shù)據(jù)執(zhí)行保護(DEP)。ROP技術(shù)的妙處在于它很容易被利用，而且還可以躲避一些ROP檢測技術(shù)。

APT3組織利用該漏洞

火眼公司發(fā)布的報告稱，近幾周一個名為APT3的黑客組織利用這個漏洞攻擊航空、國防、技術(shù)、通信、建筑、工程及交通等行業(yè)組織機構(gòu)。火眼公司指出，APT3是一個因利用IE、Firefox以及Flash Player 0day漏洞而為人熟知的復(fù)雜組織。該組織還使用了定制后門而且經(jīng)常修改命令和服務(wù)器基礎(chǔ)架構(gòu)，讓研究人員更加難以追蹤它的活動。

解決方案：更新至最新版本或棄用

為了保護用戶，Adobe建議用戶更新至最新的Flash Player版本：Windows及Mac為18.0.0.194，Linux為11.2.202.468，擴展支持版本為13.0.0.296。Chrome和Windows 8.x上IE瀏覽器默認安裝的Flash Player插件將自動更新。如果用戶在Windows或Mac上選擇了“允許Adobe安裝更新”，更新也會自動完成。