近日，安全專家再度爆出一個存在于 Adobe Flash Player 中的新的 0day 漏洞，此次發現源于一起針對俄羅斯的醫療保健機構的網絡襲擊事件。

該漏洞被編號為 CVE-2018-15982，攻擊者可通過漏洞在目標用戶的計算機上執行任意代碼，最終可取得系統的完全控制權。漏洞最早在一個 Office 的惡意文檔中被發現，目前漏洞細節已上傳至了 VirusTotal。

漏洞原理

該漏洞通過在 word 文檔中嵌入一個 Flash Active X 的控件來實現，當用戶打開文檔時，會觸發該漏洞導致 Flash 播放器出現故障。

但研究人員解釋，Office 文件(22.docx)和其中的 Flash 漏洞本身都不包含控制系統的最終有效負載。而真正起到作用的部分反而是隱藏在其中的一個圖像文件(scan042.jpg)，該文件本身就是一個存檔文件，與 word 文檔一起打包存在壓縮包中，然后通過魚叉式網絡釣魚電子郵件分發出去，視頻演示如下：

https://v.qq.com/x/page/d0809osqjsq.html

用戶收到并打開文檔后，Flash 漏洞利用程序便會在系統上執行命令來取消歸檔映像文件并運行惡意程序(backup.exe)，該程序收到 VMProtect 的保護，并會自主安裝后門程序。隨后可獲得用戶系統中如下權限：

1. 監控用戶活動(鍵盤或鼠標記錄);

2. 收集系統信息并將其發送至遠程命令和控制(C&C)服務器;

3. 執行 shellcode;

4. 將 PE 加載至內存中;

5. 下載文件;

6. 執行代碼;

7. 自我“毀滅”。

來自 Gigamon Applied Threat Rearch 的研究人員將該惡意軟件命名為“操作毒針”，但目前并沒有確定該軟件或攻擊行為的來源。然而根據此前針對俄羅斯的攻擊事件來看，研究人員認為攻擊者可能來自烏克蘭。

該漏洞會對 Adobe Flash Player 31.0.0.153 以及其之前的版本產生影響，Google Chrome、Microsoft Edge 以及 Internet Explorer 11 等瀏覽器均會受到影響，Adobe Flash Player 31.0.0.108 之前版本的安裝程序也會受到影響。

研究人員已于 11 月 29 日將漏洞上報與 Adobe 公司，目前也已發布了針對 Windows、macOS、Linux 和 Chrome 等系統的升級補丁。

來源：FreeBuf.COM