| CVE編號 | CVE-2018-4946,CVE-2018-4947,CVE-2018-4948,CVE-2018-4949,CVE-2018-4950,CVE-2018-4951,CVE-2018-4952,CVE-2018-4953,CVE-2018-4954,CVE-2018-4955,CVE-2018-4956,CVE-2018-4957,CVE-2018-4958,CVE-2018-4959,CVE-2018-4960,CVE-2018-4961,CVE-2018-4962,CVE-2018-4963,CVE-2018-4964,CVE-2018-4965,CVE-2018-4966,CVE-2018-4967,CVE-2018-4968,CVE-2018-4969,CVE-2018-4970,CVE-2018-4971,CVE-2018-4972,CVE-2018-4973,CVE-2018-4974,CVE-2018-4975,CVE-2018-4976,CVE-2018-4977,CVE-2018-4978,CVE-2018-4979,CVE-2018-4980,CVE-2018-4981,CVE-2018-4982,CVE-2018-4983,CVE-2018-4984,CVE-2018-4985,CVE-2018-4986,CVE-2018-4987,CVE-2018-4988,CVE-2018-4989,CVE-2018-4990,CVE-2018-4993,CVE-2018-4995,CVE-2018-4996 |
|---|---|
| 解決辦法 | (1)Photoshop CC用戶,從Help選單按下Updates可更新。 (2)Acrobat & Reader可自動更新。 |
| 張貼日 | 2018-05-18 |
| 上稿單位 | TWCERT/CC |
●概述:
市占率頗高的Adobe軟體,適用Windows與macOS環境,經分析旗下商品共查出48項弱點,Photoshop具越界寫入記憶體漏洞,被評為嚴重等級;至於Acrobat/Reader主流版本,包含高風險弱點23項與嚴重弱點24項,越界讀取記憶體、Memory Corruption, NTLM單一登入hash遭竊等,皆引發資料外洩;Double Free、緩衝區溢位、使用釋放記憶體、Out-of-bounds write、Type Confusion、反參照非可靠指標均導致任意代碼執行;ESET研究員指出,Acrobat /Reader雙重釋放相同記憶體,為極嚴重之0-day漏洞,若與微軟Windows之Win32k元件擴權0-day漏洞相結合,可以製造exploit chain,以武裝化PDF檔案,控制Button物件觸發Double Free,再以heap-spray獲得大片記憶體存取權,最後利用Microsoft Win32k元件擴權為kernel模式,執行Portable Executable檔案,能影響.exe、.dll、.sys等格式,所幸頗具威力的連鎖攻擊技術,因為其創造者提前曝露此事,防毒軟體公司ESET已通報Adobe修補,並於5月公告升級。
●編註:
(1)弱點分析
(1-1)Photoshop CC弱點1項
影像後製軟體Photoshop CC測出嚴重瑕疵,將造成越界寫入記憶體,之後以受害者身分執行任意代碼,目前無跡象顯示該漏洞受在野攻擊。
(1-2)Acrobat & Reader弱點47項
現行各版Acrobat與Acrobat Reader,按其危害程度區分,高級23個,嚴重級24個,評估可能已出現受害者,或正在發展探勘技術。
23項高風險弱點:其中包含越界讀取記憶體、Memory Corruption, NTLM單一登入hash遭竊等,皆能引發資料不當外洩;另有HTTP POST插入新指令行以提交XML 表單結構,此事件將避開安全稽核。
24項嚴重弱點:主要分類為Double Free、緩衝區溢位、使用釋放記憶體、Out-of-bounds write、Type Confusion、反參照非可靠指標,上述瑕疵觸發後,均會導致任意代碼執行。
(1-3)連鎖攻擊
前段提及Acrobat Reader有一項嚴重級Double Free瑕疵(CVE-2018-4990),雙重釋放相同記憶體區間,結合微軟Windows之Win32k元件擴權漏洞(CVE-2018-8120),兩者俱為0-day,可形成一組exploit chain,發動連鎖攻擊,大致步驟如後:
⧁受害者開啟惡意PDF檔案,自動執行內嵌JavaScript code;
⧁某Button物件,部分由特製JPEG2000影像組成,而惡意JavaScript code操縱該物件觸發Acrobat/Reader之Double Free;
⧁JavaScript code使用heap-spray技術,獲得記憶體讀寫能力,接著侵入Adobe Reader之JavaScript engine;
⧁利用JavaScript引擎本身組合語言指令,執行駭客的shellcode,將PDF內嵌之攜行式執行檔(PE)初始化;
⧁駭客運用Microsoft Win32k元件缺陷,擴權後在kernel模式執行PE檔案,瓦解Acrobat/Reader之沙箱防禦機制,奪取系統等級存取權。
在駭客攻擊領域內,這串環環相扣的探勘技術稱得上傑作,本來雙重0-day組合攻勢,若以PDF當武器全面運作,應具備強大破壞潛力,但是某個身分不詳的駭客組織成員,在exploit chain早期發展階段,尚待微調時露了餡,上傳給知名防毒掃描引擎進行測試,結果被斯洛伐克資安公司ESET高級研究員Anton Cherepanov逮到,趕在真正有害的終極payload完工前,先通知軟體業者修補。
(2)名詞解釋
(2-1)heap spray
從字面解讀有大量噴射的意思,實際上也差不多Heap Spray屬輔助性漏洞攻擊技術,對瀏覽器特別有效,原理是在shellcode的前面加上大量的slide code,合成代碼注入區段,向系統申請配置大量記憶體,反覆為之可佔據龐大位址空間,結合其他overflow控制程序,使得程序執行到堆疊,最終導致惡意shellcode執行。
(2-2) Portable Executable(PE)
攜行式執行檔(Portable Executable,縮寫PE)格式,主要應用環境為32、64位元Windows作業系統,PE格式封裝Windows載入執行序代碼時所需資訊,包括動態連結庫、API導入導出表等數據,由於具備高度流通性,可適用.exe、.dll、.sys(驅動程式)及其他類型檔案。
(2-3)NTLM(NT LAN Manager)
NTLM驗證通訊協定是 Microsoft 的專利通訊協定,曾經是Windows 9x專用通訊協定版本,NTLM提供程式使用網域控制器上的 MSV1_0 身份驗證服務和NetLogon服務,進行用戶身份驗證和資訊授權, 驗證時,應用程式伺服器必須和網域控制站連線,且.NTLM 憑證由欄位名稱、使用者、密碼所組成。
(3)勘誤說明
根據5月14日The hacker News報導【Adobe Releases Critical Security Updates for Acrobat, Reader and Photoshop CC】(網址:https://thehackernews.com/2018/05/adobe-security-patch-update.html),文內所附圖表列出相關CVE編號,然Adobe官網後於5月15日更新Acrobat & Reader資料,因CVE-2018-4994與CVE-2018-4946已用於其他軟體弱點,故配賦CVE-2018-4995、CVE-2018-4996替代,讀者以Adobe官網為準。
影響產品:
- Photoshop CC 2018 19.1.4之前版本
- Photoshop CC 2017 18.1.4之前版本
- Acrobat DC 2018.011.20040之前版本
- Acrobat DC 2015.006.30418之前版本
- Acrobat 2017.011.30080之前版本
- Acrobat Reader DC 2018.011.20040之前版本
- Acrobat Reader DC 2015.006.30418之前版本
- Acrobat Reader 2017.011.30080之前版本