flash_instrumentation

Les plug-ins de navigateur ont toujours été une cible attrayante pour les attaquants à exploiter. Au cours des deux dernières années, la plate-forme d'attaque la plus répandue était sans aucun doute - Flash. Avec plus de 250 CVE en 2016 seulement et l'incorporation dans pratiquement tous les kit d'exploitation, les exploits de flash sont partout et méritent notre attention.

En tant que chercheurs, nous tombons sur de nombreux cas où nous sommes tenus d'analyser les exploits trouvés dans la nature et de collecter autant d'informations que possible concernant le fonctionnement interne de l'exploit. Ce processus se révèle souvent fastidieux et très long, ce qui rend la tâche de recherche loin d'être optimale. Comme la plupart des pièces juteuses d'un exploit (telles que les chaînes ROP, les codes de coquille et la charge utile) sont générées au moment de l'exécution, nous avons décidé de adopter une approche différente et de rendre ce processus beaucoup plus informatif en utilisant les capacités existantes trouvées dans les débogdeurs de niveau indigène. En utilisant cette approche, nous avons pu obtenir une vue beaucoup plus large sur le fonctionnement intérieur des exploits basés sur le flash, ce qui rend le processus de recherche beaucoup plus rapide et plus facile à gérer.

Ce rapport explique les détails de notre approche et de ses avantages ainsi que des cas d'utilisation populaires dans lesquels il peut être appliqué. Mais avant de plonger dans les techniques d'exploration flash, passons rapidement en revue les bases du SWF.

http://blog.checkpoint.com/2017/05/05/debug-insrumentation-via-flash-actionscript/