Az Adobe megerősíti a nulla napos kizsákmányolást az Adobe Reader sandbox

Egy nemrégiben felfedezett exploit, amely megkerüli a Sandbox kizsákmányolás elleni védelmet az Adobe Reader 10-ben és 11-ben, rendkívül kifinomult és valószínűleg egy fontos internetes operáció, a víruskereső Kaspersky Lab malware elemző csoportjának vezetője elmondta:

A kizsákmányolást kedden fedezték fel a FireEye biztonsági cég kutatói, akik azt mondták, hogy aktív támadásokban használják. Az Adobe megerősítette, hogy a kizsákmányolás az Adobe Reader és az Acrobat, köztük a 10. és 11. verziója ellenére is működik, amelyek homokozóvédelmi védelmi mechanizmussal rendelkeznek.

"Az Adobe tudatában van azoknak a jelentéseknek, amelyek szerint ezeket a sérülékenységeket vadonban kihasználják a tervezett támadásokban hogy megpróbálja becsapni a Windows felhasználókat egy e-mailben küldött rosszindulatú PDF-fájlra "- mondta a vállalat a szerdán közzétett biztonsági tanácsadáson.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Az Adobe működik egy javításra, de időközben az Adobe Reader 11 felhasználóinak javasolják, hogy engedélyezzék a Védett nézet módot a Szerkesztés> Beállítások> Biztonság (Enhanced) menüben a "Fájlok a potenciálisan veszélyes helyekről" lehetőség kiválasztásával.

A kizsákmányolás és az általa telepített rosszindulatú szoftverek szuper magas szintűek, állítja Costin Raiu, a Kaspersky Lab rosszindulatú kutatási és elemző csoportjának igazgatója. "Nem valami, amit látsz nap mint nap" - mondta csütörtök.

A támadások kifinomultsága alapján Raiu arra a következtetésre jutott, hogy "hatalmas jelentőségű" műveletnek kell lennie, amely "ugyanolyan szinten lenne Duqu. "

A Duqu 2011 októberében felfedezett egy kiberespionage malware, amely a Stuxnet-hez kapcsolódik, a rendkívül kifinomult számítógépes féreg, amelyet Irán atlanti nukleáris üzemében megsértő urándúsító centrifugák kaptak. Mind a Duqu, mind a Stuxnet szerint egy nemzetállam hozta létre.

A legújabb exploit PDF dokumentum formájában jön létre, és két külön sebzést támad az Adobe Reader-ben. Az egyiket tetszőleges kódvégrehajtási jogosultságok megszerzésére használják, és az egyiket használják az Adobe Reader 10 és 11 homokdobozból való kilépéshez.

A kizsákmányolás a Windows 7 operációs rendszeren működik, beleértve az operációs rendszer 64 bites verzióját is megkerüli a Windows ASLR (címterületi elrendezés véletlenszerűségét) és a DEP (Data Execution Prevention) kizsákmányolási mechanizmusokat.

A végrehajtásakor a kizsákmányoló kinyit egy csaló PDF dokumentumot, amely tartalmaz egy úti vízumkérelmi űrlapot, mondta Raiu. A dokumentum neve "Visaform Turkey.pdf".

A kizsákmányolás egy cache-letöltő összetevőt is lefut és végrehajt, amely egy távoli kiszolgálóhoz csatlakozik, és két további összetevőt tölt le. Ez a két összetevő ellopja a jelszavakat és információkat a rendszer konfigurációjáról, és be tud jelentkezni a billentyűleütésekről.

A rosszindulatú program és a parancs-vezérlő szerver közötti kommunikációt zlib tömöríti, majd titkosítja az AES (Advanced Encryption Standard) RSA nyilvános kulcsú kriptográfia használatával.

Ez a fajta védelem nagyon ritkán fordul elő malware-ben, mondta Raiu. "Hasonló valamit használtak a Flame cyberespionage malware-ben, de a szerver oldalon."

Ez vagy egy nemzetállam által létrehozott vagy az úgynevezett törvényes lehallgatási eszközök egyikén alapuló kiberespionage eszköz, amelyet a magánvállalkozók értékesítenek a bűnüldözésnek és a hírszerző ügynökségek nagy pénzösszegekre számíthatnak. "

A Kaspersky Lab még nem rendelkezik információkkal a támadás céljairól vagy elosztásáról szerte a világon, Raiu elmondta.

Elérhető e-mailben szerdán, a FireEye vezető biztonsági igazgatója a kutatás, Zheng Bu, elutasította, hogy kommentálja a támadás célpontjait. A FireEye szerdán közzétette a rosszindulatú programokkal kapcsolatos technikai információkat tartalmazó blogbejegyzést, de nem közölt semmilyen információt az áldozatokról.

Bu azt mondta, hogy a rosszindulatú szoftverek bizonyos technikákat használnak annak felderítésére, hogy egy virtuális gépen végrehajtják-e, így elkerülheti a felismerést automatizált malware elemző rendszerekkel.