A kutatók: A nulla napos PDF-kihasználás hatással van az Adobe Reader 11-re, a korábbi verziókra

A FireEye biztonsági cég kutatói azt állítják, hogy a támadók aktívan használnak távoli kódvégrehajtást, amely az Adobe Reader legújabb verzióival 9., 10. és 11.

"Napjainkban azt találtuk, hogy a PDF nulla napos [sebezhetőséget] kihasználják a vadonban, és a legfrissebb Adobe PDF Reader 9.5.3, 10.1.5 és 11.0.1 "," a FireEye kutatói elmondták kedden egy blogbejegyzésben.

A exploit csepp és két DLL fájlt tölt be a rendszerben. Egy fájl hibás hibaüzenetet jelenít meg, és megnyitja a PDF-dokumentumot, amelyet csaliként használnak, a FireEye kutatói szerint.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

A távoli kódfuttatás rendszeresen kihasználja a célzott programok összeomlanak. Ebben az összefüggésben a hamis hibaüzenetet és a második dokumentumot leginkább arra használják, hogy becsapják a felhasználókat abban, hogy úgy gondolták, hogy az összeomlás egy egyszerű hiba következménye volt, és a program sikeresen visszaállt.

A második DLL egy rosszindulatú összetevőt telepít, vissza a távoli tartományba, a FireEye kutatói azt mondták.

Nem világos, hogy a PDF-kihasználás elsősorban az e-mailen vagy az interneten keresztül történik, vagy akik a támadások céljait használják. A FireEye nem válaszolt azonnal a szerdán küldött kiegészítő információkra.

"A minta már elküldött az Adobe biztonsági csapatának," mondta a FireEye kutatói a blogbejegyzésben. "Mielőtt megkapnánk az Adobe-t, és rendelkezésre áll egy enyhítő terv, javasoljuk, hogy ne nyisson meg ismeretlen PDF-fájlokat."

Az Adobe Product Security Incident Response Team (PSIRT) megerősítette, hogy egy blogbejegyzésben kedden vizsgálja jelentés az Adobe Reader és az Acrobat XI (11.0.1) és a korábbi verziók sebezhetőségéről a vadonban. Az ügyfelek kockázatát értékeljük, a csapat azt mondta:

A szerdai állapotfrissítés iránti kérelemre válaszul Heather Edell, az Adobe vezető vállalati kommunikációs vezetője elmondta, hogy a vállalat még mindig vizsgálja.

Sandboxing egy olyan kizsákmányolás-technika, amely szigorúan ellenőrzött környezetben elszigeteli a program érzékeny műveleteit annak érdekében, hogy megakadályozza a támadók számára, hogy írjanak és rosszindulatú kódot hajtsanak végre az alapul szolgáló rendszeren, még akkor is, ha a program kódjában egy hagyományos távoli kódfuttatási sérülékenységet használnak.

Egy sikeres a homokszórásos programokkal szembeni kihasználásnak több olyan sebezhetőséget kell kihasználnia, amely lehetővé teszi a kizsákmányolás elkerülését a homokozóból. Az ilyen sandbox-bypass sebezhetőségek ritkák, mivel a konkrét homokdobozot végrehajtó kódot általában alaposan átvizsgálják, és meglehetősen kicsi hosszúságúak a program teljes kódbázishoz képest, amely sérülékenységeket tartalmazhat.

Az Adobe hozzáadott egy sandbox-mechanizmust a védett Az Adobe Reader 10-es módja. A sandboxot tovább bővítették az olvasási műveletekre is az Adobe Reader 11-ben, egy második, Protected View néven ismert mechanizmussal.

Novemberben az orosz Security-Group-IB biztonsági kutatói beszámoltak arról, hogy az Adobe Reader 10 és 11-es kihasználását cyber-bűnözői fórumokon értékesítették 30 000 és 50 000 dollár között. A kizsákmányolás meglétét az Adobe nem erősítette meg.

"A homokdoboz bevezetése előtt az Adobe Reader az internetes bűncselekmények egyik leginkább célzott harmadik fél általi alkalmazása volt" - nyilatkozta Bogdan Botezatu, a vírusvédelem vezető e-veszély elemzője szállító BitDefender, szerdán e-mailen keresztül. "Ha ez megerősítést nyer, a homokozóban lévő lyuk feltárása kulcsfontosságú lesz, és a cyberbűncselekmények súlyosan kihasználják."

Botezatu úgy véli, hogy az Adobe Reader homokzsák megkerülése nehéz feladat, de arra számított, hogy ez valamikor megtörténik, mivel az Adobe Reader telepítések nagy száma miatt a termék vonzó célpontja a számítógépes bűnözőknek. "Nem számít, mennyi vállalat fektet be a tesztelésbe, még mindig nem tudják biztosítani, hogy alkalmazásaik hibásak legyenek, amikor a termelési gépeken telepítik."

Sajnos az Adobe Reader felhasználóknak nincs sok lehetőségük védeni magukat, ha egy a sandbox kihagyása kizárja a valóság létezését, kivéve, hogy rendkívül óvatosak azokról a fájlokról és linkekről, amelyeket nyitottak, mondja Botezatu. A felhasználóknak frissíteniük kell a telepítéseiket amint egy javítás elérhetővé válik, azt mondta.