上个月RSA安全系统的黑客攻击始于Adobe Flash Player上一个当时未打补丁的漏洞。
该公司周五证实,上个月RSA Security的黑客攻击始于Adobe Flash Player的一个未打补丁的漏洞。
根据RSA,攻击者获得其网络发送两个小组的员工电子邮件附加Excel电子表格。其中一名员工打开了标题为“2011招聘计划。xls.”的附件。
电子表格包含一个嵌入式Flash文件,利用“零日”漏洞——Adobe的错误然后未知,因此应用补丁的,允许黑客霸占员工的电脑。
从那里,攻击者在被攻击的计算机上安装了一个定制的毒葛远程管理工具(RAT)。通过使用RAT病毒,黑客们获取了用户的证书,以访问RSA网络中的其他机器,搜索并复制敏感信息,然后将数据转移到他们控制的外部服务器上。
尽管RSA没有详细说明被偷的是什么,但它承认,与该公司的SecurID双因素认证产品相关的信息是黑客的收获的一部分。
上周对Flash攻击矢量的描述有助于解释Adobe和其他公司对该漏洞的反应,并表明RSA至少在该公司上市前几天就被黑客攻击了。
RSA首先报告了这次袭击和数据盗窃周四晚些时候,3月17日。
然而,三天前,Adobe已经发布了安全建议承认攻击者利用了Flash Player中未修补的漏洞,使用了花哨的Excel文档。
Adobe公司在3月14日的公告中说:“有报告称,这一漏洞正在通过一个以电子邮件附件形式发送的微软Excel (.xls)文件中嵌入的Flash (.swf)文件进行有针对性的攻击。”
当时,Adobe并没有将RSA列为正在进行的攻击目标。
但是Adobe并承诺下周补丁Flash脆弱性,承诺时保持运输受欢迎的媒体播放器的一个“"”更新七天之后,周一,3月21日。
Adobe之前也发布过Flash的紧急补丁。例如,在2010年,该公司匆忙进行了三次修复,一次仅在6天内修复,另两次在7天内修复。
事后看来,Flash漏洞的严重性应该是显而易见的。3月17日,微软告诉Office用户保护自己通过运行高级配置工具。
就在微软提出上述建议的几小时前,RSA的高管承认其公司的网络遭到了入侵。
打开攻击Excel文件的RSA员工一定使用的Office版本比Office 2010早。在一个3月17日博客微软安全响应中心(MSRC)的一名经理和安全工程师说,Excel 2010不容易受到当时流传的攻击。
Excel 2010自动启用DEP(数据执行预防),这是一项关键的Windows反攻击技术,它还能隔离Office 2010的“保护视图”中的恶意文件,这是一种防止攻击代码逃脱应用程序的“沙箱”。
微软说,旧版本的Excel,包括Office 2003和Office 2007,不受DEP或保护视图的保护。
尽管RSA将此次攻击定性为“高级持续威胁”(advanced persistent threat,简称APT),但一些安全专家似乎认为它很普通。APT经常被用来形容缓慢、隐秘的攻击,通常被认为是中国黑客所为。
“两封电子邮件和一个Adobe Flash 0天,你也可以成为一个APT!耶格罗斯曼周五,首席技术官兼白帽保安在推特上说。
Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
阅读更多有关安全的内容在计算机世界的安全主题中心。
这则故事,“RSA黑客利用Flash零日漏洞”最初发表《计算机世界》 。