Danny Yang

SandBlast對抗Adobe Flash Player零時差漏洞(CVE-2018-4878)

Discussion created by Danny Yang on Feb 4, 2018
Latest reply on Feb 5, 2018 by Danny Yang

這兩天有個新的Adobe Critical漏洞被揭露(CVE-2018-4878),影響Flash Player 28.0.0.137以及更早以前的版本。

這個漏洞可以讓攻擊者以特定SWF檔案觸發遠端執行程式(Remote Code Execution),影響特定版本的Flash使用者,並以電子郵件夾帶Office檔案崁入特定的Flash內容散佈惡意程式。Adobe將於近日釋出相關修補版本(預計為2/5)。

 

Adobe Official Announcement:

https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

相關參考:

http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html

 

在Adobe提供Patch程式之前,除了提醒客戶啟用已經釋出的IPS特徵碼(Adobe Flash Player Use After Free Remote Code Execution (CVE-2018-4878)之外,還可建議請他們運用SandBlast Zero-Day Protection提前一步瓦解惡意威脅。

https://www.checkpoint.com/defense/advisories/public/2018/cpai-2018-0052.html

 

Threat Extraction:

SandBlast威脅萃取功能可清除Office文件內惡意感染源(e.g. SWF),確保使用者收到電子郵件附件檔案無害化。

 

Threat Emulation:

SandBlast威脅模擬功能為新世代反惡意程式規避方案,整合包含機器學習、CPU Level Detection、沙箱檢測、Push Forward等先進模擬技術,有效揪出隱含在可疑檔案內的惡意程式,即時阻擋威脅危害(Prevention)。

 

Anti-Exploit:

SandBlast Agent端點防護方案可防護漏洞攻擊,避免遠端程式呼叫防堵惡意威脅。

 

http://blog.checkpoint.com/2018/02/04/sandblast-protects-flash-zero-day-vulnerability/

Outcomes