Rò rỉ lỗ hổng Zero-Day Flash Player thứ 2 trong dữ liệu của Hacking Team

08:57 | 16/07/2015

Đây là lần thứ 2 trong vòng một tuần hãng Adobe phải nỗ lực vá lỗ hổng Zero-Day trong phần mềm Flash Player của họ.Trong khi đó, lỗ hổng thứ nhất CVE-2015-5119 vẫn đang bị tin tặc sử dụng trong các cuộc tấn công diện rộng.

Lỗ hổng Zero-Day nghiêm trọng trong Adobe Flash lần này, cũng bị rò rỉ từ dữ liệu của Hacking Team, được định danh CVE-2015-5122 có thể khiến máy tính bị crash và cho phép kẻ tấn công chiếm quyền điều khiển của hệ thống.

Hãng bảo mật FireEye đã phát hiện ra một mã khai thác proof-of-concept (PoC) thành công với lỗ hổng này và gửi cảnh báo đến hãng Adobe. Mã khai thác của lỗ hổng CVE-2015-5122 được viết tương tự với PoC CVE-2015-5119 trước đó. Các PoC này sử dụng những cấu trúc tương tự để khai thác lỗ hổng Use-After-Free trong DisplayObject. 

Lỗ hổng này được kích hoạt bằng cách giải phóng một đối tượng TextLine bên trong hàm valueOf của một lớp tùy chỉnh khi thiết lập opaqueBackground của TextLine. Khi các đối tượng TextLine được giải phóng, một đối tượng Vectorphân bổ đượcthay thế vị tríđó. Dữ liệu trả về từvalueOf sẽ ghi đè lên trường độ dài của đối tượng Vector với giá trị 106(trong khi chiều dài ban đầu là 98). 

Tiếp tục khai thác bằng cách tìm kiếm các đối tượng Vector bị lỗi dựa trên chiều dài của của Vector đó (lớn hơn 100). Điều này cho phép làm thay đổi chiều dài của đối tượng Vector liền kề đến 0x40000000. Đến đây, kẻ tấn công sẽ thực hiện khai thác theo cơ chế tương tự như PoC CVE-2015-5119.

Bước 1. Tìm địa chỉ của VitualProtect bằng cách dò quét tệp tin Kernel32.dll trong bộ nhớ và xác định vị trí ExportTable.

Bước 2. Tạo một bản sao VFTable của lớp nội bộ và thay thế con trỏ chức năng ảo bằng địa chỉ VirtualProtect.

Bước 3. Gọi VirtualProtect để đánh dấu lớp Payload thành READ_WRITE_EXCUTE.

Bước 4. Gọi lớp Payload để thực thi shellcode.


PoC shellcode làm hiện ra giao diện máy tính (calc.exe) trên Windows

Lỗ hổng này có thể đã được Hacking Team cung cấp cho khách hàng của họ để triển khai các hệ thống điều khiển từ xa, phát triển phần mềm gián điệp hay giám sát máy tính người dùng.

Đến nay, vẫn chưa thể khẳng định hai lỗ hổng Flash Player này được phát triển bởi đối tượng nào. Thông tin rò rỉ từ email của Hacking Team cho thấy có khả năng những lỗ hổng này đã được mua bởi bên thứ 3 nhưng cũng có khả năng được khai thác bằng đội ngũ nhân viên của họ.

 Lỗ hổng CVE-2015-5122 ảnh hưởng đến các phiên bản mới nhất của Flash Player trên Windows, Mac và Linux, bao gồm:

- Adobe Flash Player 18.0.0.203 và các phiên bản trước đó đối với Windows và Macintosh.

- Adobe Flash Player 18.0.0.204 và các phiên bản trước đó đối với Linux cài đặt trình duyệt Google Chrome.

- Adobe Flash Player Extended Support Release phiên bản 13.0.0.302 và các phiên bản 13.x trước đó đối với Windows và Macintosh.

- Adobe Flash Player Extended Support Release phiên bản 11.2.202.481 và các phiên bản 11.x trước đó đối với Linux.