翻译--微软官方的关于CVE-2011-2110 Adobe Flash Player漏洞的技术分析报告

显示全部楼层 · 发表于 2011-7-2 10:18:57

本帖最后由一晴空于 2011-7-8 09:04 编辑

原文：http://blogs.technet.com/b/mmpc/ ... -vulnerability.aspx
以下是我的翻译：在6月14日，Adobe公司发布了更新和安全公告（APSB11-18），把攻击影响AFP（版本10.3.181.23及其更早版本）作为参考，这些攻击被观察到群集在网页上的畸形（即被恶意修改）的SWF文件中。我们花了一段时间来分析这个Flash Player的弱点(被描述在CVE-2011-2110)，也提供了一些关于这个攻击的技术详情.
The shellcode（关于代码）
以下的步骤描述了这个SWF文件是怎样构建攻击代码的：
1st.SWF文件从一个指定的网址中的一个HTML文件下载一个二进制的文件。攻击者能简单地改变HTML文件来重新利用这个漏洞来下载另一个文件
2nd.SWF文件使用了一个简单的XOR（批注：一种二进制的算法）操作来解密这个二进制文件
3rd.然后这个SWF文件解压这个被解密的数据
4th.这个SWF文件建立一个包括ROP的诡计地址（充当将解压数据保存在%TEMP%\scvhost.exe和执行它的任务）的代码
详细的攻击进程：
不像其他的SWF漏洞，这个漏洞没有使用堆债爆发的技术。反而使用了一个3阶段的ROP基础的攻击进程，可以像一下这样描述：以下的翻译由狮子进行，翻译内容见下
1.The malformed SWF leverages the vulnerability in the Adobe Flash Player and mocks up a fake Object data structure with a deliberately crafted VTABLE (virtual table), which can cause the control transfer from the JIT (Just-In-Time) compiled code to the ROP gadgets built from the Flash Player DLL.
2.The ROP gadgets call VirtualAlloc( ) to allocate an executable memory region and build the following trampoline code into it.
3.The trampoline code calls VirtualProtect() to make the aforementioned shellcode built by the SWF executable and then executes it.

这个病毒的独特的特征是针对特定版本来构造代码.而不是仅限使用一个静态的代码，它的攻击针对于Flash Player的版本及容纳SWF文件的容器的类型（见上述Figure 1）。
基于这个信息，它正在调整ROP诡计的地址（见下述Figure 2）。每个诡计地址都包含在Flash Player自身的DLL及制造漏洞进程非常平稳。一般的我们看见恶意软件把版本10.3.181.14，10.1.181.22和10.3.181.23作为目标

关于被下载的PE文件
被下载的PE文件执行了这个被侦测到的明确指向韩国在线游戏公司的病毒PWS:Win32/OnLineGames.ZDV(SHA1: 4a13a14523fe95817cc53c75f86ee4af36ee2464) 把攻击集中到韩国，明显从我们MSE和Forefront的侦测能得出这个结论,在那里,除了6月22日,在攻击中增加了欧洲和俄罗斯,攻击的尝试主要报道是在韩国的电脑。详见：http://blogs.technet.com/b/mmpc/ ... focus-on-korea.aspx

狮子的翻译如下,感谢狮子~~：
1、格式错误的 SWF 利用 Adobe Flash Player 中的漏洞并且恶搞了了故意精心编制 VTABLE （虚拟表），这会导致将JIT（Just—In—Time）编译代码转移到flash播放器中的Dll文件中的ROP小工具。
2、ROP小工具调用 VirtualAlloc ()来分配一个可执行的内存区域，并在其中建立以下蹦床代码。
3、蹦床代码调用 VirtualProtect()来使SWF可执行文件生成上述的外壳代码，然后执行它。
ps：对于adobe这个漏洞王，目前我们最好的防御办法就是及时更新adobe公司的相关产品，以防中招~

狮子的翻译有wy1091727248添加
—wy1091727248

显示全部楼层 · 发表于 2011-7-2 14:34:28

照着这文章来看，MSE对于这种攻击，还是有一定抵抗能力的嘛~~不错~~

显示全部楼层 · 发表于 2011-7-3 08:46:59

没太看明白

显示全部楼层 · 发表于 2011-7-3 09:24:54

wy1091727248 发表于 2011-7-2 14:34
照着这文章来看，MSE对于这种攻击，还是有一定抵抗能力的嘛~~不错~~

应该说中国用户无压力，至于韩国~~~~~~

[一般话题] 翻译--微软官方的关于CVE-2011-2110 Adobe Flash Player漏洞的技术分析报告

本帖子中包含更多资源

评分

评分