Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導?

その際、シェルコードやペイロードと一緒にROPチェーンをヒープに書き込むのではなく、別の手法が用いられているという。

エクスプロイトの開発者は、これまでSoundオブジェクトなどAdobe Flash Playerの組み込みオブジェクトを破壊させるのが一般的であったが、最近ではByteArrayオブジェクトを用いControl Flow Guard (CFG) をバイパスすることもあるという。しかし、今回の攻撃者は、以下のように多数の引数を持つ関数を使用し、ActionScript3内で自らのクラスを定義する方法を選んでいる。

スタック・ポインタを加算し、ROPへとリターンするガジェットにより、攻撃者は関数ポインタを簡単に上書きできるようになる。その際、ROPチェーンの絶対アドレスを特定し、一般的なxchg reg32, espピボット用にレジスタに保存する必要はないという。さらに、スタック上にROPチェーンを保存することで、スタック・ポインタがスレッドのスタック領域外を指定する際の検知に関するROPの検知メカニズムを回避できる。

VirtualAlloc呼び出し後のROPチェーンにはROPsledが含まれている。