【PConline資訊】6月8日消息近日，騰訊御見威脅情報(bào)中心捕獲一例Flash0day漏洞（CVE-2018-5002）野外攻擊并上報(bào)。 達(dá)到當(dāng)天最大量API KEY 超過次數(shù)限制6月7日，Adobe官方發(fā)布安全公告回應(yīng)，確認(rèn)該漏洞的存在，并將AdobeFlashPlayer升級(jí)到30.0.0.113版本。公告同時(shí)對(duì)騰訊電腦管家安全團(tuán)隊(duì)為發(fā)現(xiàn)該漏洞做出的貢獻(xiàn)表示了感謝。

6月8日上午，騰訊安全遵循行業(yè)標(biāo)準(zhǔn)漏洞披露程序，正式對(duì)外披露Flash0day漏洞（CVE-2018-5002）利用原理，并指出該漏洞利用或?qū)⒁l(fā)大規(guī)模掛馬攻擊，為上網(wǎng)安全建議廣大網(wǎng)友盡快升級(jí)FlashPlayer并做好安全防御。

（Adobe發(fā)布安全公告致謝騰訊安全團(tuán)隊(duì)）

騰訊安全發(fā)布技術(shù)分析報(bào)告顯示，本次被披露的CVE-2018-5002是由于Flash未能正確處理包含特殊字節(jié)碼序列的SWF文件時(shí)產(chǎn)生的棧越界讀寫漏洞，同時(shí)該漏洞的利用規(guī)則簡(jiǎn)單，一個(gè)樣本能夠同時(shí)在32位和64位系統(tǒng)中穩(wěn)定運(yùn)行。

在騰訊安全捕獲的最新攻擊樣本中，不法黑客使用了一份被命名為《ba》的誘餌文檔，其主要內(nèi)容是阿拉伯語言撰寫的外交部官員基本工資情況，疑似為針對(duì)阿拉伯語國(guó)家相關(guān)政府部門的魚叉攻擊。一旦用戶不慎點(diǎn)開誘餌文檔，便會(huì)啟動(dòng)Flash文件（SWF1）并下載攜帶0day漏洞攻擊代碼的Flash文件（SWF2）。通過該漏洞利用，不法黑客可輕易實(shí)現(xiàn)對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的攻擊。

通過對(duì)攻擊樣本進(jìn)行分析，騰訊企業(yè)安全技術(shù)專家認(rèn)為，在利用方法未被廣泛傳播之前，該漏洞仍將主要被技術(shù)實(shí)力強(qiáng)勁的APT組織所掌握，國(guó)家機(jī)關(guān)、科研機(jī)構(gòu)及大型企業(yè)的信息系統(tǒng)或?qū)⒊蔀橹攸c(diǎn)攻擊目標(biāo)。

目前，騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)已經(jīng)可以檢測(cè)并阻斷該輪攻擊的連接行為。騰訊企業(yè)安全技術(shù)專家建議各企業(yè)、政府機(jī)構(gòu)用戶，盡快將FlashPlayer升級(jí)到30.0.0.113版本，并使用御界高級(jí)威脅檢測(cè)系統(tǒng)等終端安全管理軟件防御此類攻擊。

御界高級(jí)威脅檢測(cè)系統(tǒng)，是基于騰訊安全反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。憑借基于行為的防護(hù)和智能模型兩大核心能力，御界高級(jí)威脅檢測(cè)系統(tǒng)可高效檢測(cè)未知威脅，并通過對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，感知漏洞的利用和攻擊。