Flash漏洞能否一手遮天
评测与体验
近段时间,Flash Player插件漏洞闹得沸沸扬扬,各大反病毒软件厂商均以此为宣传重点,声称该漏洞挂马的恶意网页能导致高达70%的中马率,言之凿凿,让用户谈马色变。由于对这个漏洞和它所造成的危害程度不够了解,让很多新手在传言的洪流中不寒而栗。到底Flash漏洞有多恐怖,会让用户的安全措施失效吗?我们通过评测,看看Flash漏洞到底有多危险。
漏洞描述:
Flash Player在试图访问没有正确实例化的嵌入Actionscript对象时存在堆溢出漏洞,如果攻击者恶意修改了SWF文件中的DeclareFunction2 Actionscript标签的话,则用户打开该文件就可能触发堆溢出,导致以当前登录用户的权限执行任意指令。
哪些情况下会遭遇漏洞
目前,该漏洞影响最大的是使用Windows平台的用户。一旦用户使用浏览器访问了带有利用漏洞的恶意Flash文件,那么就会面临漏洞的威胁。而网络中用Flash形式展现的内容多不胜数,所以,只要用户访问的网站中含有Flash内容,那么就有可能面临漏洞威胁。
由于Flash在各种浏览器中几乎都会被支持,因此我们不难发现这个安全问题是跨平台、浏览器的。也就是说,如果有人去研究,所有支持Flash的平台都会在漏洞威胁的笼罩下。
测试方法
我们主要针对9.0.115.0版本的Flash Player ActiveX进行测试,使用木马标本以及漏洞利用工具,通过自己的修改,在局域网中架设一个含有恶意Flash文件的网站。然后用另外几台电脑系统作为受害机器,访问恶意构造的页面进行测试。分别验证漏洞对木马入侵能够提供多大的帮助、木马通过漏洞能够获得系统的什么权限以及能否通过漏洞执行诸如格式化等有破坏性指令。
验证一:漏洞导致木马轻松入侵
危险指数:90
漏洞为木马提供了一个入侵系统的通道。这个通道到底好不好走,要走这个通道需要好高的门槛,也就是利用漏洞的难易程度。一个容易被利用的漏洞将加大漏洞的危险程度。
在使用9.0.115.0版本的Flash Player ActiveX的测试中,用Administrator内置管理员账号登录系统(如图)。在没有杀毒软件的情况下,木马病毒经过数次测试后被成功种植到受害机。
有杀毒软件的情况下,如果木马不是免杀的,就会报毒,如果是免杀的木马,则可以绕过杀毒软件入侵系统。在安装有主动防御安全软件的情况下,木马的执行受到干扰,成功限制了木马程序的运行。
结论:漏洞提供了一个高危入侵通道
我们使用一个漏洞工具就可以轻松利用漏洞,也就是说,这个漏洞的利用几乎没有任何门槛,只要能够找到一款该漏洞的利用工具,任何人都可以制作恶意Flash文件。另一方面,测试中木马在装有杀毒软件和主动防御的系统中没有种植成功,这说明,漏洞并不能导致用户的安全防护措施完全失效,如果杀毒软件能够防御木马,完全可以保护用户的系统安全。但是,我们考虑到现在实际发生的入侵事件中,免杀木马占有了相当高的比例,所以用户还是要高度重视这个漏洞带来的影响。
验证二:木马通过漏洞获得的权限
危险指数:70
很多漏洞都有提权的能力,黑客可以通过漏洞获得目标系统的最高权限。换句话说,漏洞如果存在提权能力,黑客绕过安全防线就是轻而易举的事情。那么这次的Flash漏洞也有提权能力吗?
在使用9.0.115.0版本的Flash Player ActiveX的测试中,我们使用USER权限账号登录系统,访问恶意网站,在关闭杀毒软件的情况下,木马通过漏洞进入系统,但是木马无法安装,因为它只获得当前访问用户的USER权限。
结论:木马通过漏洞只能够获得当前登录用户的权限
这个测试充分说明了一点,这个漏洞并不含有提权特性,也就是说木马只能够通过漏洞获取当前访问用户的权限。当然了,国内用户并没有使用低权限登录系统的习惯,通常都会使用高权限登录系统,那么这个漏洞也会给用户造成很大的困扰。
验证三:通过漏洞执行任意指令
危险指数:70
在该漏洞的描述中,我们知道这个漏洞可以让利用者执行任意指令。这也就意味着,如果某款病毒能够利用这个漏洞,就可以轻松地破坏系统,甚至将系统中所有资料删除。下面我们自己构造恶意代码进行了验证。
因为漏洞利用程序并不支持直接输入命令入侵系统,所以我们修改了Flash文件中的代码,加入格式化C盘的命令。再次利用测试机访问恶意网站,测试机没有任何反应,也没有执行格式化C盘的命令。
结论:测试中无法实现执行任意代码
我们认为,执行恶意指令虽然理论上可行,但由于权限、盘符读写或者是我们本身的恶意程序构造等问题,导致通常的方法不能实现恶意构造的Flash文件对硬盘进行格式化。但这并不能说明这个漏洞就没有这方面的威胁,因为在验证一中我们其实就是在Flash文件中利用工具构造了让目标系统自动访问网页木马的指令。虽然漏洞没有提权能力,但是如果出现可以构造任意指令的工具,黑客完全可以利用当前访问用户的权限对系统下达指令,而用户对此几乎无法防御。
总结
通过测试,用漏洞进行种植木马非常简单,只要免杀木马能够绕过杀毒软件,就可以轻易入侵系统。恶意指令由于条件苛刻不容易构造执行,但我们认为还是不应该对此掉以轻心,如果有人开发出利用这个漏洞的恶意病毒,直接执行格式化等高危指令,那么后果不堪设想。
此外,截稿之日,我们收到了一份影响9.0.124.0版本Flash Player ActiveX的感染录像,黑市上对该版本的漏洞利用工具叫价50000元人民币。由此可见,即使打上了老漏洞的补丁,也可能因为补丁不全面或者不完善导致漏洞危害仍然存在。
这虽然是一个高危漏洞,但它并不是不可防范的,只要我们禁止浏览器对Flash进行支持,那么这个漏洞的生存环境也就无从提起了。此外,我们用低权限的用户上网也可以避免漏洞带来的危害。
大家可以在控制面板的“添加/删除程序”中找到当前系统使用的Flash Player ActiveX的版本号。