Adobe potvrđuje nulti dan eksploataciju zaobilazi Adobe Reader sandbox

Nedavno pronađena eksploatacija koja zaobilazi protueksplozijsku zaštitu u sandboxu u programu Adobe Reader 10 i 11 je vrlo sofisticirana i vjerojatno je dio važne operacije cyberespionage, izjavio je šef tima za analizu zlonamjernog softvera u tvrtki antivirusni programer Kaspersky Lab.

Istraživači sigurnosne tvrtke FireEye otkrili su eksploataciju u utorak, koji je rekao da se koristi u aktivnim napadima. Adobe je potvrdio da iskorištavanje radi protiv najnovijih verzija Adobe Readera i Acrobata, uključujući 10 i 11, koji imaju mehanizam zaštite od pijeska.

"Adobe je svjestan izvješća da se te ranjivosti u divljini iskorištavaju u ciljanim napadima kako bi zavarali korisnike sustava Windows da kliknu zlonamjernu PDF datoteku isporučenu u poruci e-pošte ", rekla je tvrtka u sigurnosnom savjetovanju objavljenom u srijedu.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Adobe radi na zakrpu, ali u međuvremenu se korisnicima Adobe Readera 11 preporučuje omogućiti način zaštićenog prikaza odabirom opcije "Datoteke iz potencijalno nesigurnih lokacija" u izborniku Uređivanje> Postavke> Sigurnost (Poboljšana).

Uporaba i zlonamjerni softver koji instalira je super visoka razina, prema Costin Raiu, direktoru istraživačkog i analitičkog programa malwarea tvrtke Kaspersky Lab. "To nije nešto što vidite svaki dan", rekao je u četvrtak.

Sudeći prema sofisticiranosti napada, Raiu je zaključio da moraju biti dio operacije "ogromne važnosti" koja bi "bila na istoj razini s Duqu. "Duqu je dio cyberespionage zlonamjernih programa otkriven u listopadu 2011. koji se odnosi na Stuxnet, visoko sofisticirani računalni crv koji pripisuje štetnim centrifugama obogaćivanja urana u iranskoj nuklearnoj elektrani u Natanzu. Vjeruje se kako je Duqu i Stuxnet stvorili nacionalna država.

Najnovija eksploatacija dolazi u obliku PDF dokumenta i napada dva odvojena slabost u programu Adobe Reader. Jedan se koristi za dobivanje proizvoljnih ovlasti za izvršavanje koda, a jedan se koristi za bijeg iz Adobe Readera 10 i 11 sandboxa, rekao je Raiu.

Iskorištavanje radi na Windows 7, uključujući i 64-bitnu verziju operacijskog sustava i to zaobilazi Windows ASLR (randomizaciju rasporeda adresnog prostora) i protueksplozivne mehanizme DEP (Data Execution Prevention).

Kada se izvrši, eksploatator otvara PDF dokument koji sadrži obrazac za prijavu putovnica, izjavio je Raiu. Naziv ovog dokumenta je "Visaform Turkey.pdf".

Iskorištavanje također spušta i izvršava komponentu za zlonamjerni softver koji se povezuje s udaljenim poslužiteljem i preuzimanja dvije dodatne komponente. Ove dvije komponente kradu lozinke i informacije o konfiguraciji sustava i mogu prijaviti tipke, rekao je.

Komunikacija između zlonamjernog softvera i poslužitelja za naredbu i kontrolu komprimirana je s zlib, a zatim šifrirana s AES (Advanced Encryption Standard) koristeći RSA public-key kriptografiju.

Ova vrsta zaštite vrlo rijetko se vidi u zlonamjernom softveru, kazao je Raiu. "Nešto slično koristilo se u zlonamjernom softveru" Flame cyberespionage ", ali na strani poslužitelja."

To je ili alat za kibernetizaciju koji je stvorila nacionalna država ili jedan od takozvanih zakonskih alata za presretanje koje su privatni poduzetnici prodali u provedbi zakona i "

Kaspersky Lab još uvijek nema informacije o ciljevima napada ili njihovoj distribuciji širom svijeta, rekao je Raiu.

Došlo je u srijedu u srijedu, FireEyeova viša direktorica sigurnosnih službi istraživanje, Zheng Bu, odbio je komentirati ciljeve napada. FireEye objavio je blog s tehničkim podacima o zlonamjernom softveru u srijedu, ali nije otkrio nikakve informacije o žrtvama.

Bu je rekao da zlonamjerni softver koristi određene tehnike za otkrivanje ako se izvršava u virtualnom stroju tako da može izbjeći otkrivanje automatiziranih sustava za analizu malwarea.