CVE-2011-0609 — Adobe Flash/Reader (Authplay) RCE w kampaniach spear‑phishingowych

TL;DR

Krytyczny błąd w Adobe Flash Player oraz w komponencie Authplay bibliotek Adobe Reader/Acrobat (CVE‑2011‑0609) umożliwiał zdalne wykonanie kodu przez spreparowane pliki SWF. W 2011 r. był aktywnie wykorzystywany w atakach z załącznikami XLS (osadzony SWF), m.in. w incydencie RSA SecurID. Detekcja: korelacja Email → Office/Reader → podejrzany child‑process/C2, blokada starych Flash/Reader, sandboxing załączników.

Krótka definicja techniczna

CVE‑2011‑0609 to luka (memory corruption/unspecified) w Adobe Flash Player 10.2.154.13 i starszych (Windows/macOS/Linux/Solaris, Android), Adobe AIR 2.5.1 i starszych oraz w Authplay.dll/AuthPlayLib.bundle używanym przez Adobe Reader/Acrobat 9.x–9.4.2 oraz 10.x–10.0.1. Otwarcie złośliwego SWF (np. osadzonego w pliku Excel) skutkuje RCE w kontekście aplikacji.

Gdzie występuje / przykłady platform

• Windows / macOS / Linux / Solaris (endpointy) — przeglądarki i Office/Reader ładujące wtyczkę Flash/komponent Authplay.
• Android (mobile) — podatne wydania Flash 10.1.106.16 i starsze.
• Active Directory — punkt rozprzestrzenienia po początkowym foothold; nie jest bezpośrednio podatne.
• M365 — wektor mailowy (Exchange/Defender for Office 365: Safe Attachments/Safe Links, Message trace).
• AWS/Azure/GCP — brak bezpośredniej podatności; możliwa telemetria z WorkMail/SES/WorkSpaces, VPC Flow/Firewall do korelacji C2.
• Kubernetes/ESXi — nie dotyczy bezpośrednio; przydatne do detekcji lateral movement po inicjalnym włamaniu.
  (Flash i Authplay są EOL; przez cały czas warto utrzymywać detekcję retro/archiwalną dla threat huntingu i IR).

Szczegółowy opis techniki (jak działa, cele, skuteczność)

Ataki wykorzystywały SWF z exploitem osadzony w pliku .xls wysyłanym jako spear‑phishing. Po otwarciu arkusza Excel ładował komponent Flash/ActiveX, wykonywał payload w pamięci i uruchamiał proces podrzędny (np. dropper/loader), typowo ustanawiający łączność C2 i dogrywający RAT (w publicznych opisach wskazywano m.in. Poison Ivy). W kampanii na RSA załącznik o nazwie “2011 Recruitment plan.xls” prowadził do kradzieży poufnych danych SecurID. Ta taktyka była skuteczna z powodu: zaufania do dokumentów Office, łańcucha User Execution → Client Exploitation, braku patchy i ograniczonej widoczności korelacyjnej między warstwą e‑mail, procesami na hoście i ruchem sieciowym.

Artefakty i logi (tabela — EID, CloudTrail, K8s audit, M365)

KategoriaŹródłoID/OperacjaWzorzec / PolaCo oznacza

Windows	Sysmon	EID 1 (ProcessCreate)	ParentImage in (EXCEL.EXE,AcroRd32.exe,WINWORD.EXE) + Image in (cmd.exe,powershell.exe,wscript.exe,mshta.exe,rundll32.exe)	Nietypowe child‑procesy po otwarciu dokumentu/Readera (wskaźnik exploit→payload).
	Sysmon	EID 3 (NetworkConnect)	ParentImage jak wyżej; dest na świeże domeny/DGA/dynamic DNS	Wczesne C2 po exploitacji.
	Sysmon	EID 7 (ImageLoaded)	ImageLoaded endswith authplay.dll / Flash*.ocx z nieaktualnych ścieżek	Ładowanie wrażliwego komponentu.
	Sysmon	EID 11 (FileCreate)	Tworzenie dropperów w %APPDATA%, %TEMP% (np. *.tmp, *.dat)	Artefakty pierwszego etapu.
	Windows Security	4688	Jak EID 1 (jeśli brak Sysmon)	Procesy uruchomione przez Office/Reader.
	Windows PowerShell	4104	Nieoczekiwane skrypty po otwarciu pliku	Wskaźnik T1059.
M365	Defender for Office 365	EmailEvents	AttachmentExtension="xls" + ThreatTypes/MalwareVerdict + DetectionMethod=SafeAttachments	Zatrzymane/wykryte załączniki ze SWF/osadzonymi obiektami.
	Unified Audit Log	MailItemsAccessed/Send	Korelacja adresatów/wątków phishingowych	Zasięg kampanii.
Proxy/DNS	Secure Web Gateway / resolver	—	User-Agent Office/Reader → outbound, świeże domeny, nietypowe SNI	Potwierdzenie C2 po otwarciu dokumentu.
AWS (telemetria)	CloudWatch/VPC Flow	—	Nietypowe wyjścia z hostów WorkSpaces/EC2 po zdarzeniu e‑mail	Korelacja sieciowa (brak bezpośredniego CloudTrail dla kontentu maili).
CloudTrail	—	—	[brak danych / nie dotyczy] — CloudTrail nie rejestruje zawartości załączników	Użyć WorkMail Message Flow/SES logs, VPC Flow.
K8s audit	—	—	[brak danych / nie dotyczy]	Dotyczy etapów późniejszych (lateral movement), nie samej CVE.

Detekcja (praktyczne reguły)

Sigma (Windows — Office/Reader uruchamia interpreter/shell po Flash/Authplay)

title: Office/Reader Suspicious Child Process (CVE-2011-0609 Tradecraft) id: 6c6f3a3c-8f8c-4f2e-91c3-ofs-cve20110609 status: stable description: Wykrywa uruchomienie interpreterów/shelli przez EXCEL/AcroRd32/Word – wzorzec obserwowany w eksploatacji SWF/Authplay (2011). author: Badacz CVE date: 2025/11/05 logsource: product: windows category: process_creation detection: parent_office: ParentImage|endswith: - '\EXCEL.EXE' - '\AcroRd32.exe' - '\WINWORD.EXE' suspicious_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' condition: parent_office and suspicious_child falsepositives: - Dodatki/plug‑iny wywołujące narzędzia systemowe (rzadkie) level: high tags: - attack.t1204.002 - attack.t1203 - attack.t1059 - cve.2011.0609

Splunk (Sysmon EID 1 + 3)

index=endpoint (sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1) | where like(ParentImage,"%\\EXCEL.EXE") OR like(ParentImage,"%\\AcroRd32.exe") OR like(ParentImage,"%\\WINWORD.EXE") | where match(Image,"(?i)\\(cmd|powershell|wscript|cscript|mshta|rundll32)\\.exe$") | stats earliest(_time) as firstSeen latest(_time) as lastSeen values(CommandLine) values(ParentCommandLine) by Computer, Image, ParentImage, ParentProcessGuid, ProcessGuid | join type=left ProcessGuid [ search index=endpoint sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=3 | stats values(DestinationIp) values(DestinationHostname) by ProcessGuid ] | sort - lastSeen

KQL (Defender for Endpoint + MDO korelacja)

// 1) Host: podejrzane child-procesy po Office/Reader DeviceProcessEvents | where InitiatingProcessFileName in~ ("EXCEL.EXE","AcroRd32.exe","WINWORD.EXE") | where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","mshta.exe","rundll32.exe") // 2) E-mail: załączniki .xls ze złą reputacją let suspiciousMail = EmailEvents | where AttachmentCount > 0 and tostring(AttachmentExtensions) has_cs "xls" | where ThreatTypes has_any ("Malware","Phish") or MalwareFilterVerdict in~ ("Malware","HighConfMalware"); suspiciousMail | project NetworkMessageId, RecipientEmailAddress, SenderFromDomain | join kind=innerunique ( DeviceProcessEvents | where InitiatingProcessFileName in~ ("EXCEL.EXE","AcroRd32.exe") | project Timestamp, DeviceId, InitiatingProcessParentCreationTime, InitiatingProcessFileName, FileName, ProcessCommandLine, NetworkMessageId ) on NetworkMessageId

AWS (CloudWatch Logs Insights — Amazon WorkMail Message Flow / alternatywnie SES)

Jeśli używasz Amazon WorkMail/SES z loggingiem do CloudWatch/S3:

fields @timestamp, fromAddress, recipient, attachmentExtension, malwareVerdict, attachmentMimeType | filter attachmentExtension="xls" | filter malwareVerdict="MALICIOUS" or like(attachmentMimeType, "%shockwave%") or like(attachmentMimeType, "%flash%") | sort @timestamp desc

(CloudTrail nie zawiera treści e‑maili; użyj WorkMail Message Flow / SES event logs oraz VPC Flow do wskazania ewentualnego C2).

Elastic / EQL

process where process.parent.name in ("EXCEL.EXE","AcroRd32.exe","WINWORD.EXE") and process.name in ("cmd.exe","powershell.exe","wscript.exe","mshta.exe","rundll32.exe")

Heurystyki / korelacje

• Łańcuch czasowy: Email (.xls z osadzonym SWF) → uruchomienie Office/Reader → child‑process → połączenie sieciowe do świeżej domeny → zapis droppera w %TEMP%/%APPDATA%.
• Artefakty Flash/Authplay: ładowanie authplay.dll/Flash*.ocx przez Office/Reader w momencie otwarcia pliku.
• Pola do pivotowania: NetworkMessageId DeviceProcessEvents proxy/DNS; hash załącznika sandbox verdict.
• Treść socjotechniki: tematy rekrutacyjne/HR (“Recruitment plan”), krótka treść maila zachęcająca do otwarcia załącznika.

False positives / tuning

• Legalne dodatki Office/Reader mogą incydentalnie uruchamiać narzędzia systemowe (rzadkie).
• Zastosuj tuning po wersjach: skup się na hostach, gdzie w telemetrycznych śladach widać obiekty Flash/Authplay lub historyczne wersje Reader/Flash (jeśli utrzymywane w VDI/legacy).
• Kontekst e‑mail: preferuj zdarzenia z verdictem Malware/High‑confidence lub z sandboxu (MDO Safe Attachments/3rd‑party).
• Sieć: ogranicz alerty tylko do outbound na świeże/dynamiczne domeny i/lub niedawno zarejestrowane certyfikaty.

Playbook reagowania (IR)

1. Triage & izolacja hosta (EDR isolate/quarantine).
2. Zabezpieczenie artefaktów: hash i kopia pliku .xls, volatile data (listy procesów, połączenia, moduły).
   • Windows (PowerShell, konto z uprawnieniami IR): Get-Process EXCEL,AcroRd32 -IncludeUserName Get-ChildItem $env:TEMP | Sort LastWriteTime -desc | Select -First 20 Get-FileHash "C:\Path\to\Attachment.xls" -Algorithm SHA256
3. Hunting w skali organizacji: IOC = hash załącznika / domeny C2 / temat maila; wyszukaj w EmailEvents/MessageTrace i w EDR.
4. Blokady: reguła w Secure Email Gateway/MDO na typ załączników (XLS z OLE/ActiveX), blokada starych komponentów Flash/Authplay.
5. Eradykacja: usuń dropper/RAT, unieważnij poświadczenia z hosta, sprawdź persistence (usługi/Run Keys/Tasks).
6. Lessons learned: wdroż patch‑management, makra ograniczone, otwieranie załączników w izolacji (sandbox/VDI).

Przykłady z kampanii / case studies

• Incydent RSA SecurID (marzec 2011): spear‑phishing z „2011 Recruitment plan.xls”, osadzony SWF wykorzystał CVE‑2011‑0609, po czym doinstalowano backdoor (m.in. raportowano Poison Ivy) i kradziono dane związane z SecurID.
• Wnioski branżowe: Adobe ostrzegało o aktywnej eksploatacji w ukierunkowanych atakach; aktualizacje zostały opublikowane w drugiej połowie marca 2011 r.

Lab (bezpieczne testy) — przykładowe komendy

Cel: zweryfikować, czy Twoje detektory wychwytują łańcuch Email/Office → child‑process/C2 bez używania realnego exploita.

• Test 1 (host): z poziomu kontenera testowego/VDI uruchom kontrolowany child‑process z Office (np. otwarcie pliku, który uruchamia calc/whoami przez zgodny z polityką add‑in) i sprawdź, czy reguły Sigma/Splunk/KQL go łapią.
• Test 2 (poczta): wyślij do skrzynki testowej plik XLS z nieszkodliwym osadzonym obiektem (np. formularz OLE bez makr) i obserwuj, czy Safe Attachments nadaje verdict i czy pipeline korelacyjny łączy NetworkMessageId DeviceProcessEvents.
• Atomic Red Team (alternatywa): użyj atomików dla T1204.002 i T1566.001 (wersje bezpieczne/PUA), by wygenerować telemetryczne ślady bez rzeczywistej eksploatacji.

Mapowania (Mitigations, powiązane techniki)

Mitigations ATT&CK:

• M1051 — Update Software: natychmiastowe łatki Flash/Reader (historycznie) i rygorystyczny patch management.
• M1031 — Network Intrusion Prevention: IDS/IPS do blokady znanych C2/eksploatacji w ruchu.
• M1047 — Audit: regularne audyty konfiguracji, telemetrii, list uprawnień.

Powiązane techniki (ATT&CK):

• T1566.001 — Spearphishing Attachment (wektor początkowy).
• T1204.002 — User Execution: Malicious File (uruchomienie przez użytkownika).
• T1203 — Exploitation for Client Execution (RCE w aplikacji klienckiej).
• T1105 — Ingress Tool Transfer (dogrywanie narzędzi/RAT).
• T1059 — Command & Scripting Interpreter (uruchomienie poleceń/payloadów).

Źródła / dalsza literatura

• Adobe Security Advisory APSA11‑01 (opis wektora: SWF w Excelu; aktywna eksploatacja). (adobe.com)
• NVD/CVE — szczegóły produktu/wersji podatnych. (NVD)
• CERT/CC VU#192052 (informacja o biuletynie z poprawką). (kb.cert.org)
• Kaspersky/QuickHeal (informacja o wydaniu poprawek). (Securelist)
• Case study RSA: Infosecurity‑Magazine, The Register, Wired, F‑Secure. (Infosecurity Magazine)
• ATT&CK (T1566.001, T1204.002, T1203; Detection Strategies). (MITRE ATT&CK)
• Wersjonowanie ATT&CK (aktualna v18.0). (MITRE ATT&CK)

15) Checklisty dla SOC / CISO

SOC:

• Korelacja EmailEvents DeviceProcessEvents DNS/Proxy dla załączników .xls.
• Aktywne reguły na Office/Reader → shell/interpreter (Sigma/SIEM).
• Hunting: authplay.dll / Flash*.ocx załadowane przez Office/Reader (historyczne hosty/VDI).
• Blokady w SEG/MDO: OLE/ActiveX w dokumentach Office z internetu.
• Sandboxing załączników (dynamic + static) i automatyczna kwarantanna.

CISO:

• Egzekwowanie M1051 (patch management) i EOL hygiene (wyeliminować Flash/Authplay).
• NIPS/SSL inspection dla wczesnego C2 (M1031).
• Szkolenia z rozpoznawania spear‑phishingu; procedury zgłoszeń.
• Testy kontrolne (Purple Team/Atomic) mapowane do T1566.001/T1204.002/T1203.

Uwaga końcowa: Flash/Reader wersje z 2011 r. są dziś wygasłe, ale ślady i techniki (phishing + client‑side RCE) pozostają aktualne. Warto utrzymywać detekcje oparte na wzorcu zachowania (ATT&CK), nie na konkretnym CVE.