CVE-2018-5002 第二波Flash零日漏洞在野攻擊分析預警

2018年6月1日，360核心安全高級威脅應對團隊在全球範圍內率先捕獲了新的一起使用Flash 零日漏洞的在野攻擊，黑客精心構造了一個從遠程載入Flash漏洞的Office文檔，打開文檔後所有的漏洞利用代碼和惡意荷載均通過遠程的伺服器下發，此次攻擊主要針對中東地區。

相關漏洞文件分析

該樣本具有比較誘惑性的文件名basic_salary.xlsx(基本工資)，其內容也與標題符合，為各個時間階段的工資，語言採用阿拉伯語。

basic_salary.xlsx（MD5: c8aaaa517277fb0dbb4bbf724245e663）文檔內容完整，其部分內容截圖如下：

圖1

黑客通過activex控制項和數據嵌入了一個遠程的flash文件鏈接，相關的漏洞攻擊代碼由遠程的伺服器腳本控制下發。

圖2

漏洞攻擊流程分析

圖3

漏洞攻擊的多個階段流程如下：

圖4

漏洞原理分析

漏洞的flash攻擊代碼經過了高度混淆，經過調試分析我們在攻擊樣本中定位到了零日漏洞攻擊代碼。

圖5

經過還原後的關鍵代碼如下：

package

{

public class class_6

{

try{

}

catch(e:Error)

{

return;

}

li8(123456);

}

public function class_6(){

super();

}

代碼中Static-init methods Flash會使用解釋器去處理，解釋器在處理try catch語句時沒有正確的處理好異常的作用域，導致代碼中li8(123456)指令觸發異常後會被catch塊捕獲。

而處理try catch語句時由於Flash認為沒有代碼能執行到catch語句塊，所以也沒有對catch語句塊中的位元組碼做檢查，攻擊者通過在catch語句塊中使用getlocal，setlocal指令來實現對棧上容易地址讀寫。最終，攻擊者通過交換棧上的2個對象指針來將漏洞轉為類型混淆問題完成攻擊。

Flash will use the interpreter to handle Static-init methods. The interpreter handles the try catch statement does not correctly handle the exception, and this will make li8 (123456) instruction caught by the catch block when it triggers the exception.

Because Flash assumes that it is impossible to execute to the catch block when processing the try catch statement, it does not check the bytecode in the catch block. The attacker uses the getlocal, setlocal instruction in the catch block to read and write arbitrary addresses on the stack.

In this wild used 0 day, the attacker switches the vulnerability to a type confusion by exchanging two object pointers on the stack and finally completes the attack.

進一步調試攻擊代碼，可以觀察到漏洞利用的位元組碼，發現函數的localcount 值為2，而在catch塊中getlocal,setlocal已經操作448和498位置的數據。

The vulnerability exploited bytecode discovery function has a localcount value of 2, whereas in the catch block getlocal, setlocal has manipulated the data at locations 448 and 498.