看雪编辑按:7 月份的时候,Adobe 公司正式宣布于 2020 年底停止支持 Flash Player,较之“老兵不死,只是逐渐凋零”平添了几分悲情。时光倒回几年前,那时对挖漏洞的人来说 Flash 是再熟悉不过了,每次更新都伴随着一堆 CVE 的修复,此外 Flash 漏洞还备受黑客组织的青睐,被集成到了各种 EK 工具包中。但事物的发展总有其特定规律,无法做到适应的终将被历史所淘汰。本次分享的议题是由看雪『二进制漏洞』版主、来自兴华永恒的仙果带来的有关 Flash 漏洞的繁华往昔及作为漏洞之王的陨落,跟着演讲者过一遍 Flash 漏洞的利用思想也许会为你在研究其它类型漏洞时带来新的灵感。以下内容为仙果演讲实录,由看雪学院(微信公众号:ikanxue)整理。
仙果:刚刚看到一个十几岁的小朋友很认真的在翻简页,感觉到四个字:后生可畏。给自己的感觉是压力很大,心情是越来越紧张。
下面开始我们的议题:议题的名字是Flash漏洞之殇,曾经的漏洞之王的末路。大家可以简单跟着我聊一下Flash是怎么流行的,flash漏洞是怎么回事,又是怎么样利用的,高级的漏洞定义技巧又是什么?大家可以带着这些疑问跟我一块来听一下。
首先自我介绍。我们公司专门做漏洞攻防对抗以及攻防研究的对抗,公司比较久了,来公司已经呆了快十年了,方向是研究漏洞攻防,研究软件漏洞、硬件漏洞以及路由器的漏洞,包括虚拟化的漏洞也会研究,研究的面是比较广的。专注软件漏洞的利用研究以及对抗分析。平时呢我其实是比较逗的人,工作中是这样子的,基本上是回到家“修电脑”的人。
第一是FlashPlayer的往昔盛景,第二是FlashPlayer的成也平台,败也平台。第三,是FlashPlayer漏洞面面观。第四,漏洞缓解措施和对抗,第五,Adobe最后的努力以及放弃。
Flash Player的往昔盛景
研究漏洞的人年龄比较大,对这些有印象。像刚刚小朋友肯定没有这种印象。首先,为什么会流行?当时的网络很卡,10KB,还是在一个猫(音)的阶段。当时很流行一句话,多图杀猫。你的流量很卡,但是如果用FlashPlayer打开非常流量,而且图象不会失真,非常小巧,非常好用。在那个时候它就相当于是一个超人,小巧高效,而且Flash小游戏称霸天下。包括现在很多的页游,就是用Flash进行开发的。
这个图我不知道大家是否有印象,年龄比较大的网虫肯定有印象,闪客帝国和闪吧,我不知道大家是否对这两个还有印象?这对于当时来说非常流行、非常火的两个网站。而且绝大多数是Flash游戏开发以及周边开发都是在这两块发起的。从这个可见,当时FlashPlayer是有多火。
我们可以看到它火的一个流程:
1996年发布的Flash,
1998年开始了Flash3,
1994年Flash4,
2000年Flash5,包括一直到Flash10的阶段,一直到2008年都是很火的。
通过了十年的发展,它占领了互联网、多媒体的半壁江山,一直到了2005年,是最鼎盛的时候,占有了多媒体浏览98%以上。
大家新安装以及XP系统默认安装Flash的组建,不知道大家是否有注意到这个情况。它火了之后,安全人员以及漏洞挖掘人员就会针对Flash进行挖掘,2008年开始一直到今年,2015年是Flash鼎盛之年,2016、2017年也在不断的发展。
大家是否注意到漏洞一些利用包很多都是用的Flash的漏洞,包括APT28,就是这段时间疑似操作美国大选的攻击组织,我们通过分析发现它也使用了Flash的漏洞。
成也平台,败也平台
截止到2015年Flash早已经从最简单二维矢量网络动画制作软件发展成为跨网络、本地移动设备的应用设计、开发和发布平台。这样就有一个疑问,它为什么会成了一个平台,为什么还要放弃?
它就像一个小孩,就像一个婴儿,他承担了一个年轻人,一个中年人,他要承担的份量,这个时候肯定会存在一个问题,它根本就不能承受那么大的重量,而且还发展的那么好,这是一个畸形的发展。
Flash已经成为了一个平台,已经占领了互联网那么大的江山。但是,你在这其中发现了什么?大家能否注意到问题的真正所在?
发展那么大,占用那么大的江山,但是它还是浏览器的组建,还是浏览器的插件,它的命掌握在别人手里面,说禁用就禁用,说不用就不用,相当于自己的命根子掌握在别人的手里面一样,这就是它的问题所在。
像IE11还支持Flash,其他浏览器的已经不支持Flash。如果浏览器不支持,就会慢慢消亡。
当苹果iOS发布的时候,移动端的iOS已经不再支持Flash,而互联网的发展从现在回头往前看,是移动端者得天下。像iOS和安卓打架诺基亚死掉一样,诺基亚当时多火,但是还是死掉了。
Flash放弃了Linux的平台,同时安卓平台也放弃了。很多应用端的游戏,用到的Flash但是已经不算是FlashPlayer了。
Flash Player漏洞面面观
看一下FlashPlayer的攻击面:最鼎盛的时候Flash是支持了很多平台,像windows linux 等等,支持这么多的平台,但是它一旦有了漏洞,它的影响面很大,同时一个漏洞影响多个平台。就像曾经的漏洞之王,Java一样,也是一个跨平台的,一个漏洞影响多个平台,会波及整个互联网。
图片解析,这是Flash的源码截取一部分针对图片解析的文件夹,ICO还是比较常建见的,WX是什么?大家知道WX是什么图片?它是具有图片解析的程序,很大可能性是存在漏洞的。
正则表达式,这个很奇葩。我们在研究的时候就发现真的是解析出现问题。连正则表达式都会出现问题,这是很奇怪的。视频各式解析,这是它解析FIV格式的漏洞,给我的感觉是什么概念呢?只要是Flash支持的组件,支持的格式,都会存在着漏洞。
它就像一个千疮百孔一样,任何人都可以插一脚。Action script 3自身,这个不用举例了,很多的漏洞都是自身数据结构上的问题。包括跨域、XSS等等的漏洞。
它的影响面,一个Flash漏洞,攻击者怎么应用这个?它的影响除了在操作系统层面还会顾及到什么层面,这是播放的一个视频,在Word的视频,这个视频是Flash的模式。Flash它影响到了office,包括一些的Adobe组建都会受影响,还有国内的软件WPS,它也支持Flash的组件。
大家可能不太清楚,这是在Flash里面来利用IE漏洞,这样做出来有一个非常大的好处,是攻击者进行漏洞攻防对抗的时候,就有非常大的好处。免杀以及通用性非常大。而且,Flash本身是支持很多操作系统的判断以及浏览器的判断更准确,影响面更大,可以做的事情更多。这是一个漏洞,可以针对w7、W8。只不过这个攻击者没有写相应的XP。
操作系统层面,从应用层的层面,包括多功能组合的层面,都会有很大的问题。最奇葩的一个问题是,之前我们测试过的是,PDF的漏洞可以结合多个Flash的漏洞,做到什么程度呢,你只有你想不到,没有做不到。
可能大家看到漏洞演示比较多的是一个网页,计算器弹出来了大家很高兴。下面大家看这一种,打开Flash,操作系统里面安装的软件,补丁就全部泄露出来了,操作系统是Win7,除了Flash是低版本,其他的全都是最新版本。电脑所有安装软件以及补丁全部都有泄露出来,漏洞的威力是非常大的,是很典型文件信息泄露的,是文件读取以及信息泄露的漏洞,这个漏洞可能没有你在本地打开计算器的漏洞危害大,好处是:稳定、好用、高效。
在APT攻击流程里面,信息探测占到非常大比例,这个漏洞就是非常好的信息探测的漏洞。你比如说把这个放到局域网里面可以做到什么效果,我不知道大家是否有这样的想法,所有信息全部被泄露了。
不知道大家是否见过这个软件,DoSWF,就是刚刚开始用这个软件进行混淆之后,把它应用到漏洞攻防的EXP混淆的时候,所有操作软件,所有的防御软件全部是绕过的。针对这个检测,安全人员是无从下手的,包括国外的研究人员他们是怎么把这个解析出来,他们是条形加载,解析到流程全部走完之后再从内存里面找到原始有的漏洞放出来,生生的把漏洞扣出来的一个高强度混淆的软件。
现在用的比较多的还有另外一个,这个软件是国外用的比较多,SecureSWF,混淆的强度还是比较大的。
在2015年的Flash漏洞直线上升,其实荣升了漏洞之王的称号。再来回顾一下漏洞利用的历史,这是2009年、2010年左右的时候Flash是这样利用的,很粗略、很粗糙,现在回头来看这是非常粗糙的,也是最原始的。这个时候IE只能够做到稳定的控制堆,进行堆风水,Flash能做到什么大家不知道,但是正式测试的时候发现可以很好的进行堆填充。
这个编号是cve-2011-2011,漏洞原因是函数参数导致的问题,三个点来触发的漏洞。牵扯到另外一个问题,很明显的是在进行IE的漏洞,刚才提到了HTML怎么利用的?像刚刚2011一样,有三个点的A,这个利用漏洞是怎么样,直接在Flash里面执行windons。这是payload,这样执行起来非常简单。
漏洞缓解措施和对抗
在2015年漏洞之后,Adobe针对vector对象引入了Cookie和lenght检测机制,使得Vector的力利用方式被封堵。引入了隔离堆机制,当然还有一些没有加入堆隔离的对象,对象的大小以及不同对象虽然隔离了,但是对于普通对象还是会分到同类的堆里面,包括对象保存的这样机制,延迟释放的这样一些机制。既然是机制,就不可能把每一个对象,因为Flash的对象太复杂了,还是有突出的一些。那怎么办?
Adobe 最后的努力和放弃
很明显,Adobe公司已经不要Flash了,它已经把它抛弃了,就像一个很明显的是:爸爸不要你了。
这是我的演讲过程,希望能跟大家进行漏洞研究方面的交流,谢谢大家!
本演讲PPT
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-2-1 11:46
被kanxue编辑
,原因: