Adobe为提升Flash的安全性,在最新版本的Flash(18.0.0.209)加入了许多攻击缓解技术。
新的攻击缓解技术为:
l <*>长度验证–加入长度cookie到Vector缓冲区。这方法可以增加Flash漏洞攻击码开发的难度,甚至能阻止尚未公开的零时差攻击。
l <uint>缓冲堆积分区–这解决方法让泄漏cookie和覆写长度更加困难。现在需要特定的漏洞而非一般的数据泄露和覆写漏洞。
l Flash堆积更强大的随机能力–这缓解机制让泄漏cookie和覆写vector长度更加困难,因为堆积布局比以前更难预测。
但是,并非所有的漏洞都可以通过这些方式缓解,攻击者或许会找到新一类的潜在Flash漏洞来绕过这些步骤,另外,不是所有的保护技术都适用在所有的浏览器上。
HackingTeam,APT攻击和 Flash:浏览器以外的漏洞攻击码
Flash目前也在浏览器之外的地方受到攻击,它现在被嵌入到Office文件中;这可以绕过许多防御。
(伪装成来自台湾政府的诈骗邮件)
这看似是封非常普通的APT针对性攻击邮件,其实这些Office文件嵌入了Flash文件,如果攻击成功,就会被用来下载和执行真正的恶意软件。
(攻击成功和InternetExplorer程序)
制造工具
(制造工具用法)
我们了解到攻击者使用自动化制造工具来实现自动化攻击。攻击者会提供将用来攻击的Office文件、Flash漏洞攻击码和真正的恶意软件,制造工具会产生嵌入Flash文件的文件,以及上传到受害者服务器的文件中。
这制造工具也被设计来让侦测和分析恶意软件更加困难:
l 网络流量使用HTTPS加密,让网络安全解决方案侦测更加困难。
l 使用4位的随机密钥和XOR函数来加密所用的恶意软件。
建议
到目前为止,Flash相关的最佳建议是保持更新,并且将浏览器设置为“点击再播放”(或完全关闭),有安全意识的用户应该考虑完全停用Flash,Windows用户也可以选择利用kill bit(删除位)在系统上完全停用Flash。
2425
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
