TL;DR
Krytyczny błąd w Adobe Flash Player oraz w komponencie Authplay bibliotek Adobe Reader/Acrobat (CVE‑2011‑0609) umożliwiał zdalne wykonanie kodu przez spreparowane pliki SWF. W 2011 r. był aktywnie wykorzystywany w atakach z załącznikami XLS (osadzony SWF), m.in. w incydencie RSA SecurID. Detekcja: korelacja Email → Office/Reader → podejrzany child‑process/C2, blokada starych Flash/Reader, sandboxing załączników.
Krótka definicja techniczna
CVE‑2011‑0609 to luka (memory corruption/unspecified) w Adobe Flash Player 10.2.154.13 i starszych (Windows/macOS/Linux/Solaris, Android), Adobe AIR 2.5.1 i starszych oraz w Authplay.dll/AuthPlayLib.bundle używanym przez Adobe Reader/Acrobat 9.x–9.4.2 oraz 10.x–10.0.1. Otwarcie złośliwego SWF (np. osadzonego w pliku Excel) skutkuje RCE w kontekście aplikacji.
Gdzie występuje / przykłady platform
- Windows / macOS / Linux / Solaris (endpointy) — przeglądarki i Office/Reader ładujące wtyczkę Flash/komponent Authplay.
- Android (mobile) — podatne wydania Flash 10.1.106.16 i starsze.
- Active Directory — punkt rozprzestrzenienia po początkowym foothold; nie jest bezpośrednio podatne.
- M365 — wektor mailowy (Exchange/Defender for Office 365: Safe Attachments/Safe Links, Message trace).
- AWS/Azure/GCP — brak bezpośredniej podatności; możliwa telemetria z WorkMail/SES/WorkSpaces, VPC Flow/Firewall do korelacji C2.
- Kubernetes/ESXi — nie dotyczy bezpośrednio; przydatne do detekcji lateral movement po inicjalnym włamaniu.
(Flash i Authplay są EOL; nadal warto utrzymywać detekcję retro/archiwalną dla threat huntingu i IR).
Szczegółowy opis techniki (jak działa, cele, skuteczność)
Ataki wykorzystywały SWF z exploitem osadzony w pliku .xls wysyłanym jako spear‑phishing. Po otwarciu arkusza Excel ładował komponent Flash/ActiveX, wykonywał payload w pamięci i uruchamiał proces podrzędny (np. dropper/loader), typowo ustanawiający łączność C2 i dogrywający RAT (w publicznych opisach wskazywano m.in. Poison Ivy). W kampanii na RSA załącznik o nazwie “2011 Recruitment plan.xls” prowadził do kradzieży poufnych danych SecurID. Ta taktyka była skuteczna z powodu: zaufania do dokumentów Office, łańcucha User Execution → Client Exploitation, braku patchy i ograniczonej widoczności korelacyjnej między warstwą e‑mail, procesami na hoście i ruchem sieciowym.
Artefakty i logi (tabela — EID, CloudTrail, K8s audit, M365)
| Kategoria | Źródło | ID/Operacja | Wzorzec / Pola | Co oznacza |
|---|---|---|---|---|
| Windows | Sysmon | EID 1 (ProcessCreate) | ParentImage in (EXCEL.EXE,AcroRd32.exe,WINWORD.EXE) + Image in (cmd.exe,powershell.exe,wscript.exe,mshta.exe,rundll32.exe) | Nietypowe child‑procesy po otwarciu dokumentu/Readera (wskaźnik exploit→payload). |
| Sysmon | EID 3 (NetworkConnect) | ParentImage jak wyżej; dest na świeże domeny/DGA/dynamic DNS | Wczesne C2 po exploitacji. | |
| Sysmon | EID 7 (ImageLoaded) | ImageLoaded endswith authplay.dll / Flash*.ocx z nieaktualnych ścieżek | Ładowanie wrażliwego komponentu. | |
| Sysmon | EID 11 (FileCreate) | Tworzenie dropperów w %APPDATA%, %TEMP% (np. *.tmp, *.dat) | Artefakty pierwszego etapu. | |
| Windows Security | 4688 | Jak EID 1 (jeśli brak Sysmon) | Procesy uruchomione przez Office/Reader. | |
| Windows PowerShell | 4104 | Nieoczekiwane skrypty po otwarciu pliku | Wskaźnik T1059. | |
| M365 | Defender for Office 365 | EmailEvents | AttachmentExtension="xls" + ThreatTypes/MalwareVerdict + DetectionMethod=SafeAttachments | Zatrzymane/wykryte załączniki ze SWF/osadzonymi obiektami. |
| Unified Audit Log | MailItemsAccessed/Send | Korelacja adresatów/wątków phishingowych | Zasięg kampanii. | |
| Proxy/DNS | Secure Web Gateway / resolver | — | User-Agent Office/Reader → outbound, świeże domeny, nietypowe SNI | Potwierdzenie C2 po otwarciu dokumentu. |
| AWS (telemetria) | CloudWatch/VPC Flow | — | Nietypowe wyjścia z hostów WorkSpaces/EC2 po zdarzeniu e‑mail | Korelacja sieciowa (brak bezpośredniego CloudTrail dla kontentu maili). |
| CloudTrail | — | — | [brak danych / nie dotyczy] — CloudTrail nie rejestruje zawartości załączników | Użyć WorkMail Message Flow/SES logs, VPC Flow. |
| K8s audit | — | — | [brak danych / nie dotyczy] | Dotyczy etapów późniejszych (lateral movement), nie samej CVE. |
Detekcja (praktyczne reguły)
Sigma (Windows — Office/Reader uruchamia interpreter/shell po Flash/Authplay)
title: Office/Reader Suspicious Child Process (CVE-2011-0609 Tradecraft)
id: 6c6f3a3c-8f8c-4f2e-91c3-ofs-cve20110609
status: stable
description: Wykrywa uruchomienie interpreterów/shelli przez EXCEL/AcroRd32/Word – wzorzec obserwowany w eksploatacji SWF/Authplay (2011).
author: Badacz CVE
date: 2025/11/05
logsource:
product: windows
category: process_creation
detection:
parent_office:
ParentImage|endswith:
- '\EXCEL.EXE'
- '\AcroRd32.exe'
- '\WINWORD.EXE'
suspicious_child:
Image|endswith:
- '\cmd.exe'
- '\powershell.exe'
- '\wscript.exe'
- '\cscript.exe'
- '\mshta.exe'
- '\rundll32.exe'
condition: parent_office and suspicious_child
falsepositives:
- Dodatki/plug‑iny wywołujące narzędzia systemowe (rzadkie)
level: high
tags:
- attack.t1204.002
- attack.t1203
- attack.t1059
- cve.2011.0609Splunk (Sysmon EID 1 + 3)
index=endpoint (sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1)
| where like(ParentImage,"%\\EXCEL.EXE") OR like(ParentImage,"%\\AcroRd32.exe") OR like(ParentImage,"%\\WINWORD.EXE")
| where match(Image,"(?i)\\(cmd|powershell|wscript|cscript|mshta|rundll32)\\.exe$")
| stats earliest(_time) as firstSeen latest(_time) as lastSeen values(CommandLine) values(ParentCommandLine) by Computer, Image, ParentImage, ParentProcessGuid, ProcessGuid
| join type=left ProcessGuid
[ search index=endpoint sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=3
| stats values(DestinationIp) values(DestinationHostname) by ProcessGuid ]
| sort - lastSeenKQL (Defender for Endpoint + MDO korelacja)
// 1) Host: podejrzane child-procesy po Office/Reader
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("EXCEL.EXE","AcroRd32.exe","WINWORD.EXE")
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","mshta.exe","rundll32.exe")
// 2) E-mail: załączniki .xls ze złą reputacją
let suspiciousMail =
EmailEvents
| where AttachmentCount > 0 and tostring(AttachmentExtensions) has_cs "xls"
| where ThreatTypes has_any ("Malware","Phish") or MalwareFilterVerdict in~ ("Malware","HighConfMalware");
suspiciousMail
| project NetworkMessageId, RecipientEmailAddress, SenderFromDomain
| join kind=innerunique (
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("EXCEL.EXE","AcroRd32.exe")
| project Timestamp, DeviceId, InitiatingProcessParentCreationTime, InitiatingProcessFileName, FileName, ProcessCommandLine, NetworkMessageId
) on NetworkMessageIdAWS (CloudWatch Logs Insights — Amazon WorkMail Message Flow / alternatywnie SES)
Jeśli używasz Amazon WorkMail/SES z loggingiem do CloudWatch/S3:
fields @timestamp, fromAddress, recipient, attachmentExtension, malwareVerdict, attachmentMimeType
| filter attachmentExtension="xls"
| filter malwareVerdict="MALICIOUS"
or like(attachmentMimeType, "%shockwave%")
or like(attachmentMimeType, "%flash%")
| sort @timestamp desc(CloudTrail nie zawiera treści e‑maili; użyj WorkMail Message Flow / SES event logs oraz VPC Flow do wskazania ewentualnego C2).
Elastic / EQL
process where
process.parent.name in ("EXCEL.EXE","AcroRd32.exe","WINWORD.EXE") and
process.name in ("cmd.exe","powershell.exe","wscript.exe","mshta.exe","rundll32.exe")Heurystyki / korelacje
- Łańcuch czasowy: Email (
.xlsz osadzonym SWF) → uruchomienie Office/Reader → child‑process → połączenie sieciowe do świeżej domeny → zapis droppera w %TEMP%/%APPDATA%. - Artefakty Flash/Authplay: ładowanie
authplay.dll/Flash*.ocxprzez Office/Reader w momencie otwarcia pliku. - Pola do pivotowania:
NetworkMessageId↔DeviceProcessEvents↔ proxy/DNS; hash załącznika ↔ sandbox verdict. - Treść socjotechniki: tematy rekrutacyjne/HR (“Recruitment plan”), krótka treść maila zachęcająca do otwarcia załącznika.
False positives / tuning
- Legalne dodatki Office/Reader mogą incydentalnie uruchamiać narzędzia systemowe (rzadkie).
- Zastosuj tuning po wersjach: skup się na hostach, gdzie w telemetrycznych śladach widać obiekty Flash/Authplay lub historyczne wersje Reader/Flash (jeśli utrzymywane w VDI/legacy).
- Kontekst e‑mail: preferuj zdarzenia z verdictem Malware/High‑confidence lub z sandboxu (MDO Safe Attachments/3rd‑party).
- Sieć: ogranicz alerty tylko do outbound na świeże/dynamiczne domeny i/lub niedawno zarejestrowane certyfikaty.
Playbook reagowania (IR)
- Triage & izolacja hosta (EDR
isolate/quarantine). - Zabezpieczenie artefaktów: hash i kopia pliku
.xls, volatile data (listy procesów, połączenia, moduły).- Windows (PowerShell, konto z uprawnieniami IR):
Get-Process EXCEL,AcroRd32 -IncludeUserName Get-ChildItem $env:TEMP | Sort LastWriteTime -desc | Select -First 20 Get-FileHash "C:\Path\to\Attachment.xls" -Algorithm SHA256
- Windows (PowerShell, konto z uprawnieniami IR):
- Hunting w skali organizacji: IOC = hash załącznika / domeny C2 / temat maila; wyszukaj w EmailEvents/MessageTrace i w EDR.
- Blokady: reguła w Secure Email Gateway/MDO na typ załączników (XLS z OLE/ActiveX), blokada starych komponentów Flash/Authplay.
- Eradykacja: usuń dropper/RAT, unieważnij poświadczenia z hosta, sprawdź persistence (usługi/Run Keys/Tasks).
- Lessons learned: wdroż patch‑management, makra ograniczone, otwieranie załączników w izolacji (sandbox/VDI).
Przykłady z kampanii / case studies
- Incydent RSA SecurID (marzec 2011): spear‑phishing z „2011 Recruitment plan.xls”, osadzony SWF wykorzystał CVE‑2011‑0609, po czym doinstalowano backdoor (m.in. raportowano Poison Ivy) i kradziono dane związane z SecurID.
- Wnioski branżowe: Adobe ostrzegało o aktywnej eksploatacji w ukierunkowanych atakach; aktualizacje zostały opublikowane w drugiej połowie marca 2011 r.
Lab (bezpieczne testy) — przykładowe komendy
Cel: zweryfikować, czy Twoje detektory wychwytują łańcuch Email/Office → child‑process/C2 bez używania realnego exploita.
- Test 1 (host): z poziomu kontenera testowego/VDI uruchom kontrolowany child‑process z Office (np. otwarcie pliku, który uruchamia calc/whoami przez zgodny z polityką add‑in) i sprawdź, czy reguły Sigma/Splunk/KQL go łapią.
- Test 2 (poczta): wyślij do skrzynki testowej plik XLS z nieszkodliwym osadzonym obiektem (np. formularz OLE bez makr) i obserwuj, czy Safe Attachments nadaje verdict i czy pipeline korelacyjny łączy NetworkMessageId ↔ DeviceProcessEvents.
- Atomic Red Team (alternatywa): użyj atomików dla T1204.002 i T1566.001 (wersje bezpieczne/PUA), by wygenerować telemetryczne ślady bez rzeczywistej eksploatacji.
Mapowania (Mitigations, powiązane techniki)
Mitigations ATT&CK:
- M1051 — Update Software: natychmiastowe łatki Flash/Reader (historycznie) i rygorystyczny patch management.
- M1031 — Network Intrusion Prevention: IDS/IPS do blokady znanych C2/eksploatacji w ruchu.
- M1047 — Audit: regularne audyty konfiguracji, telemetrii, list uprawnień.
Powiązane techniki (ATT&CK):
- T1566.001 — Spearphishing Attachment (wektor początkowy).
- T1204.002 — User Execution: Malicious File (uruchomienie przez użytkownika).
- T1203 — Exploitation for Client Execution (RCE w aplikacji klienckiej).
- T1105 — Ingress Tool Transfer (dogrywanie narzędzi/RAT).
- T1059 — Command & Scripting Interpreter (uruchomienie poleceń/payloadów).
Źródła / dalsza literatura
- Adobe Security Advisory APSA11‑01 (opis wektora: SWF w Excelu; aktywna eksploatacja). (adobe.com)
- NVD/CVE — szczegóły produktu/wersji podatnych. (NVD)
- CERT/CC VU#192052 (informacja o biuletynie z poprawką). (kb.cert.org)
- Kaspersky/QuickHeal (informacja o wydaniu poprawek). (Securelist)
- Case study RSA: Infosecurity‑Magazine, The Register, Wired, F‑Secure. (Infosecurity Magazine)
- ATT&CK (T1566.001, T1204.002, T1203; Detection Strategies). (MITRE ATT&CK)
- Wersjonowanie ATT&CK (aktualna v18.0). (MITRE ATT&CK)
15) Checklisty dla SOC / CISO
SOC:
- Korelacja EmailEvents ↔ DeviceProcessEvents ↔ DNS/Proxy dla załączników
.xls. - Aktywne reguły na Office/Reader → shell/interpreter (Sigma/SIEM).
- Hunting:
authplay.dll/Flash*.ocxzaładowane przez Office/Reader (historyczne hosty/VDI). - Blokady w SEG/MDO: OLE/ActiveX w dokumentach Office z internetu.
- Sandboxing załączników (dynamic + static) i automatyczna kwarantanna.
CISO:
- Egzekwowanie M1051 (patch management) i EOL hygiene (wyeliminować Flash/Authplay).
- NIPS/SSL inspection dla wczesnego C2 (M1031).
- Szkolenia z rozpoznawania spear‑phishingu; procedury zgłoszeń.
- Testy kontrolne (Purple Team/Atomic) mapowane do T1566.001/T1204.002/T1203.
Uwaga końcowa: Flash/Reader wersje z 2011 r. są dziś wygasłe, ale ślady i techniki (phishing + client‑side RCE) pozostają aktualne. Warto utrzymywać detekcje oparte na wzorcu zachowania (ATT&CK), nie na konkretnym CVE.
