Rò rỉ lỗ hổng Zero-Day Flash Player thứ 2 trong dữ liệu của Hacking Team

08:07 | 16/07/2015 | LỖ HỔNG ATTT

Đây là lần thứ 2 trong vòng một tuần hãng Adobe phải nỗ lực vá lỗ hổng Zero-Day trong phần mềm Flash Player của họ.Trong khi đó, lỗ hổng thứ nhất CVE-2015-5119 vẫn đang bị tin tặc sử dụng trong các cuộc tấn công diện rộng.

Lỗ hổng Zero-Day nghiêm trọng trong Adobe Flash lần này, cũng bị rò rỉ từ dữ liệu của Hacking Team, được định danh CVE-2015-5122 có thể khiến máy tính bị crash và cho phép kẻ tấn công chiếm quyền điều khiển của hệ thống.

Hãng bảo mật FireEye đã phát hiện ra một mã khai thác proof-of-concept (PoC) thành công với lỗ hổng này và gửi cảnh báo đến hãng Adobe. Mã khai thác của lỗ hổng CVE-2015-5122 được viết tương tự với PoC CVE-2015-5119 trước đó. Các PoC này sử dụng những cấu trúc tương tự để khai thác lỗ hổng Use-After-Free trong DisplayObject.

Lỗ hổng này được kích hoạt bằng cách giải phóng một đối tượng TextLine bên trong hàm valueOf của một lớp tùy chỉnh khi thiết lập opaqueBackground của TextLine. Khi các đối tượng TextLine được giải phóng, một đối tượng Vectorphân bổ đượcthay thế vị tríđó. Dữ liệu trả về từvalueOf sẽ ghi đè lên trường độ dài của đối tượng Vector với giá trị 106(trong khi chiều dài ban đầu là 98).

Tiếp tục khai thác bằng cách tìm kiếm các đối tượng Vector bị lỗi dựa trên chiều dài của của Vector đó (lớn hơn 100). Điều này cho phép làm thay đổi chiều dài của đối tượng Vector liền kề đến 0x40000000. Đến đây, kẻ tấn công sẽ thực hiện khai thác theo cơ chế tương tự như PoC CVE-2015-5119.

Bước 1. Tìm địa chỉ của VitualProtect bằng cách dò quét tệp tin Kernel32.dll trong bộ nhớ và xác định vị trí ExportTable.

Bước 2. Tạo một bản sao VFTable của lớp nội bộ và thay thế con trỏ chức năng ảo bằng địa chỉ VirtualProtect.

Bước 3. Gọi VirtualProtect để đánh dấu lớp Payload thành READ_WRITE_EXCUTE.

Bước 4. Gọi lớp Payload để thực thi shellcode.

Rò rỉ lỗ hổng Zero-Day Flash Player thứ 2 trong dữ liệu của Hacking Team

PoC shellcode làm hiện ra giao diện máy tính (calc.exe) trên Windows

Lỗ hổng này có thể đã được Hacking Team cung cấp cho khách hàng của họ để triển khai các hệ thống điều khiển từ xa, phát triển phần mềm gián điệp hay giám sát máy tính người dùng.

Đến nay, vẫn chưa thể khẳng định hai lỗ hổng Flash Player này được phát triển bởi đối tượng nào. Thông tin rò rỉ từ email của Hacking Team cho thấy có khả năng những lỗ hổng này đã được mua bởi bên thứ 3 nhưng cũng có khả năng được khai thác bằng đội ngũ nhân viên của họ.

Lỗ hổng CVE-2015-5122 ảnh hưởng đến các phiên bản mới nhất của Flash Player trên Windows, Mac và Linux, bao gồm:

- Adobe Flash Player 18.0.0.203 và các phiên bản trước đó đối với Windows và Macintosh.

- Adobe Flash Player 18.0.0.204 và các phiên bản trước đó đối với Linux cài đặt trình duyệt Google Chrome.

- Adobe Flash Player Extended Support Release phiên bản 13.0.0.302 và các phiên bản 13.x trước đó đối với Windows và Macintosh.

- Adobe Flash Player Extended Support Release phiên bản 11.2.202.481 và các phiên bản 11.x trước đó đối với Linux.

‹ › ×

Tin liên quan

Bộ tạo mẫu ngẫu nhiên Beacon của NIST

15:52 | 18/09/2014

NIST đang cài đặt một nguồn nguyên mẫu ngẫu nhiên công cộng, sử dụng hai nguồn ngẫu nhiên sẵn có về mặt thương mại độc lập với nhau, mỗi nguồn đều có phần cứng tạp nguồn entropy độc lập và các thành phần đã được tài liệu SP800-90 của NIST chấp nhận.

Trách nhiệm pháp lý và bảo mật máy tính

08:40 | 18/07/2014

Khi xây dựng giải pháp bảo mật cho hệ thống công nghệ thông tin, người ta cần xác định các mức độ ưu tiên bằng việc phân tích các rủi ro có thể xảy ra. Tuy nhiên, trong thực tế nhiều hệ thống bảo mật được làm ra nhằm mục đích tìm cách chối bỏ trách nhiệm pháp lý của chủ thể hệ thống với các bên liên quan hơn là giảm thiểu rủi ro thực tế. Giáo sư Ross Anderson của trường đại học Cambridge, dựa trên kinh nghiệm thực tiễn đã đưa ra một số nguyên tắc hữu ích trong xây dựng hệ thống này.

Phát hiện lỗ hổng SOME ảnh hưởng đến Google+ và nhiều trang web khác

15:44 | 29/12/2014

Hội nghị Black Hat Châu Âu năm 2014, Ben Hayak - nhà nghiên cứu của công ty Trustware đã trình bày phương pháp tấn công Origin Method Execution (SOME) có khả năng gây ảnh hưởng đến rất nhiều trang web lớn hàng đầu thế giới.

Tin cùng chuyên mục

Phân tích phiên bản mới của phần mềm độc hại RisePro nhắm mục tiêu vào người dùng GitHub

14:00 | 11/04/2024

RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Các mối đe dọa trên Google Play được giao dịch trên web đen

13:00 | 29/12/2023

Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.