Adobe Flash零時差漏洞遭攻擊套件鎖定

安全研究員Kafeine發現，駭客利用Angler EK攻擊套件針對Adobe Flash Player漏洞發動攻擊，可能導致受害者電腦被用來建立僵屍網路。

被駭客鎖定的共有三個Flash Player漏洞，其中有兩個是去年年底揭露的CVE-2014-8440及CVE-2015-0310漏洞。Adobe雖然已經發佈修補CVE-2015-0310的最新版Flash Player 16.0.0.287，但Kafeine發現最新版Flash Player仍遭到Angler EK工具的攻擊。除了這二個已知漏洞外，研究人員還發現到Angler EK目前也攻擊了存在於Flash Player 16.0.0.257中另一個尚未揭露的零時差漏洞。

Adobe的安全公告指出，最新釋出的更新解決了之前Flash Player版本中可能導致Windows平台繞過記憶體空間位址隨機載入（memory address randomization）的記憶體洩露問題。Adobe呼籲Windows及Mac用戶更新到Adobe Flash Player 16.0.0.287，而Linux用戶更新到Flash Player 13.0.0.262。針對Flash Player 16.0.0.287的攻擊，Adobe表示還在研究關於攻擊的細節。

包括Windows XP、Windows 7及Windows 8上的IE 6到IE 10皆受零時差漏洞影響。而XP上的Firefox 35也存在CVE-2015-0310漏洞，Windows 8.1及Google Chrome則未受影響。

安全公司Fortinet解釋，Angler EK是一種常被駭客及網路罪犯用以植入其他惡意程式的工具套件，一般是用在掛馬攻擊，讓受害者經由連結或網釣郵件連到被植入惡意程式的網站進而感染其系統。

Zscaler進一步研究發現，在「惡意廣告」（Malvertising）的攻擊情境中，駭客透過被駭的廣告網路，將有惡意程式的廣告送到合法網站，並將不知情的使用者導向代管Angler EK的網站。如果使用者電腦的Flash Player是有漏動的版本，就會被植入Angler EK。研究人員在其測試的Windows 7 64-bit系統中發現Angler EK植入64-bit Bedep木馬變種，會從受感染機器上發出大量的「廣告詐騙」流量及「點擊詐騙」活動，並連向外部的C&C伺服器，即成為僵屍網路電腦的一部份。

由於Adobe尚未有最新安全公告，在新版Flash Player修補程式釋出之前，安全人員建議至少關閉Flash Player一陣子。（編譯/林妍溱）