Istraživači: Zero-day PDF iskorištavanje utječe na Adobe Reader 11, starije verzije

Istraživači sigurnosne tvrtke FireEye tvrde da napadači aktivno koriste izravan program za izvršavanje koda koji radi protiv najnovijih verzija Adobe Readera 9, 10 i 11.

"Danas smo identificirali da se nula-dnevna [ranjivost] PDF eksploatira u divljini, a uočili smo uspješno iskorištavanje najnovijih Adobe PDF Readera 9.5.3, 10.1.5 i 11.0.1 ", priopćili su istraživači FireEye u utorak, u postu na blogu.

Iskorištavanje opada i učitava dvije DLL datoteke na sustavu. Jedna datoteka prikazuje pogrešnu poruku o pogrešci i otvara PDF dokument koji se koristi kao mamac, navode istraživači tvrtke FireEye.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

programi za pada. U tom kontekstu lažna poruka o pogrešci i drugi dokument najvjerojatnije se upotrebljavaju za prevaru korisnika u uvjerenje da je sudar rezultat jednostavnog kvarova i uspješno se oporavio.

U međuvremenu, drugi DLL instalira zlonamjernu komponentu koja poziva natrag na udaljenu domenu, rekli su istraživači tvrtke FireEye.

Nije jasno kako se PDF iskorištavanje isporučuje na prvom mjestu - putem e-pošte ili preko weba - ili koji su bili ciljevi napada koji ga koriste. FireEye nije odmah odgovorio na zahtjev za dodatnim informacijama koje su poslane u srijedu.

"Već smo poslali uzorak Adobe sigurnosnom timu", rekli su istraživači FireEye na blogu. "Prije nego što dobijemo potvrdu od Adobea, a dostupan je i plan ublažavanja, predlažemo da ne otvarate nikakve nepoznate PDF datoteke."

Tim za reakciju incidenta sigurnosti proizvoda tvrtke Adobe (PSIRT) potvrdio je u utorak u blogu da istražuje izvješće o ranjivosti u programu Adobe Reader i Acrobat XI (11.0.1) i ranijim verzijama koja se eksploatiraju u divljini. Procjenjuje se rizik za kupce, rekao je tim.

Kao odgovor na zahtjev za ažuriranje statusa koji je poslan u srijedu, Heather Edell, viši menadžer korporativnih komunikacija tvrtke Adobe, izjavio je da tvrtka još uvijek istražuje.

Sandboxing je protueksplozivna tehnika koja izolira osjetljive operacije programa u strogo kontroliranom okruženju kako bi spriječio napadače da pišu i izvrše zlonamjerni kod na temeljnom sustavu čak i nakon iskorištavanja tradicionalne ranjivosti izvršenja kodova u programskom kodu.

Uspješna iskorištavanje u odnosu na sandboxed program moralo bi iskoristiti više ranjivosti, uključujući i onaj koji omogućava eksploataciji da pobjegne iz sandboxa. Takve ranjivosti rijetkih obilaznih sandučarskih obilazaka su rijetke, jer je kod koji provodi pravi sandbox obično pažljivo pregledan i relativno je malen duljina u usporedbi s ukupnom šifrom baze podataka koja bi mogla sadržavati ranjivosti.

Adobe je dodao mehanizam sandboxa kako bi se izolirale operacije pisanja pod nazivom Zaštićeni Mode u Adobe Readeru 10. Sandbox je dodatno proširen kako bi obuhvatio samo operacije samo za čitanje, kao i Adobe Reader 11, kroz drugi mehanizam zvan Protected View.

U studenom, sigurnosni istraživači ruske sigurnosne tvrtke Group-IB izvijestili su da iskorištavanje za Adobe Reader 10 i 11 prodano je na internetskim kriminalnim forumima između 30.000 i 50.000 dolara. Adobe nije potvrdio postojanje eksploatacije. "Prije uvođenja sandboxa, Adobe Reader bio je jedan od najuglednijih aplikacija trećih strana od strane cyber-kriminalaca", rekao je Bogdan Botezatu, viši analitičar e-prijetnje u antivirusnoj tehnologiji dobavljača BitDefender, rekao je u srijedu putem e-pošte. "Ako se to potvrdi, otkriće rupa u pješčaniku bit će od presudne važnosti i zasigurno će masovno iskoristiti cyber-kriminalci."

Botezatu vjeruje da je zaobići Adobe Reader sandbox je težak zadatak, ali je očekivao da se to dogodi u nekom trenutku, jer velik broj Adobe Reader instalacija čini proizvod privlačnim ciljem cyber kriminala. "Bez obzira koliko tvrtki ulaže u testiranje, još uvijek ne mogu osigurati da njihove aplikacije budu bez grešaka kada su razmještene na proizvodnim strojevima", rekao je.

Nažalost, Adobe Reader korisnici nemaju mnogo mogućnosti za zaštitu sebe sandbox zaobilazeći eksploataciju zapravo postoji, osim što je izuzetno oprezan onim datotekama i vezama koje su otvorene, rekao je Botezatu. Korisnici bi trebali ažurirati svoje instalacije čim zakrpa postane dostupna, rekao je.