Flash又被爆出0 day漏洞 用于传播FinFisher监控软件

漏洞影响主流操作系统

卡巴斯基研究人员从AdobeFlash中发现了一个新的0day 远程代码执行漏洞，正被APT组织BlackOasis（“黑色绿洲”）利用。这个严重的类型混淆漏洞CVE-2017-11292可导致代码执行并影响主要操作系统Windows、Macintosh、Linux和ChromeOS上的Flash播放器21.0.0.226。

漏洞已修复

卡巴斯基实验室将漏洞报告给Adobe后，后者已通过发布Adobe Flash播放器版本27.0.0.159和27.0.0.130解决了这个问题。

强烈建议企业和政府机构尽快安装Adobe发布的更新。微软也可能会发布安全更新修复其产品使用的Flash播放器组件。

“黑色绿洲”组织或是幕后黑手

研究人员指出，“黑色绿洲”即是火狐研究人员在2017年9月发现的利用另外一个0day漏洞(CVE-2017-8759) 的攻击组织。另外，当前利用CVE-2017-11292漏洞的攻击中的最后FinSpypayload（即FinSpy商业恶意软件）跟CVE-2017-8759共享相同的命令和控制服务器。

截至目前，“黑色绿洲”攻击的受害者遍布多个国家，如俄罗斯、伊拉克、阿富汗、尼日利亚、利比亚、约旦、突尼斯、沙特阿拉伯、伊朗、荷兰、巴林、英国和安哥拉。

这次攻击中使用的Flash0 day漏洞是“黑色绿洲”组织自2015年6月起利用的至少是第五个0day漏洞。

FinSpy具有强大的监控能力

FinSpy是一款高度机密监控工具，被指跟一家英国公司“伽马集团(Gamma Group)”存在关联，该公司向全球政府机构合法出售监控和间谍软件。FinSpy也被称为“FinFisher”，它具有多种监控能力，包括打开网络视频和麦克风开展实时监控、记录受害者的按键、拦截Skype通话以及提取文件等。为了入侵目标系统，FinSpy通常会利用多种攻击向量，包括鱼叉式钓鱼、物理接近受感染设备进行手动安装、0day利用代码以及水坑式攻击。

就在上个月，ESET公司的研究人员发现，对多款流行app如WhatsApp、Skype、VLCPlayer和WinRAR的合法下载也会传播FinSpy，据称是在互联网服务提供商层面遭受攻陷。