Adobe vahvistaa nollapäiväisen hyödyntämisen bypasses Adobe Readerin hiekkalaatikkoa

äskettäin löydetty hyväksikäyttö, joka ohittaa hiekkalaatikkoa hyödyntävän suojauksen Adobe Reader 10: ssä ja 11: ssä, on erittäin hienostunut ja on todennäköisesti osa merkittävää tietoverkkotoimintaa, haittaohjelmien analysointitiimin johtaja virustentorjunnan toimittajalta Kaspersky Lab sanoi.

Hyökkäys löydettiin tiistaina tietoturvayhtiö FireEyen tutkijoilta, jotka sanoivat, että sitä käytettiin aktiivisissa hyökkäyksissä. Adobe vahvisti, että hyödyntäminen toimii Adobe Readerin ja Acrobatin, mukaan lukien 10 ja 11, uusilla Adobe- ja Adobe Acrobat -versioilla, joilla on hiekkalaatikon suojausmekanismi.

"Adobe on tietoinen raporteista, joiden mukaan näitä haavoittuvuuksia käytetään luonnossa kohdennetuissa hyökkäyksissä tempaavat Windows-käyttäjiä klikkaamalla haitallista PDF-tiedostoa, joka on toimitettu sähköpostiviestissä ", sanoi yhtiö julkaisussaan julkaistussa tietoturvatiedotteessa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Adobe työskentelee mutta tällä välin Adobe Reader 11: n käyttäjille on suositeltavaa ottaa Suojattu näkymä -tilaan valitsemalla Muokkaa> Asetukset> Suojaus (Enhanced) -valikko "Tiedostot mahdollisesti vaarallisilta sijainneilta".

Hyödynnä ja haittaohjelmat, jotka se asentaa, ovat erittäin korkeatasoisia, Kaspersky Labin haittaohjelmatutkimus- ja analyysitiimin Costin Raiun mukaan. "Se ei ole jotain mitä näet joka päivä", hän sanoi torstaina. "

Raiu päätti hyökkäysten hienostuneisuuden perusteella, että heidän on oltava osa" suurta merkitystä ", joka" olisi samalla tasolla kuin Duqu. "

Duqu on Cyberespionage-haittaohjelmat, jotka löydettiin lokakuussa 2011, joka liittyy Stuxnet-verkkoon, joka on erittäin hienostunut tietokonevirhe, joka hyökkäsi Iranin ydinvoimalassa Natanzissa vahingoittavien uraanin rikastustentrifugien kanssa. Sekä Duquin että Stuxnetin uskotaan olevan kansallisvaltion luoma.

Viimeisin hyödyntäminen on PDF-dokumentin muodossa ja hyökkää kaksi erillistä haavoittuvuutta Adobe Readerissa. One käyttää mielivaltaisten koodien suorittamisen oikeuksia, ja toinen on poistettu Adobe Reader 10 ja 11 -hiekkalaatikosta, Raiu sanoi.

Hyödyt toimivat Windows 7: ssä, mukaan lukien 64-bittinen käyttöjärjestelmän versio ohittaa Windows ASLR: n (osoitetilan ulkoasun satunnaistamisen) ja DEP (Data Execution Prevention) -hyökkäyksen estämismekanismit.

Kun toteutetaan, hyväksikäyttö avaa avainsanoja sisältävän PDF-dokumentin, joka sisältää matkaviisumin hakulomakkeen, Raiu sanoi. Tämän asiakirjan nimi on "Visaform Turkey.pdf".

Hyödyt myös pudottaa ja suorittaa haittaohjelmien latauskomponentin, joka yhdistää etäpalvelimeen ja lataa kaksi lisäkomponenttia. Nämä kaksi komponenttia varastavat salasanat ja järjestelmän kokoonpanoa koskevat tiedot, ja he voivat kirjautua näppäilyihin, hän sanoi.

Haittaohjelmien ja komentosillan ja palvelimen välinen tiedonsiirto pakataan zlibillä ja salataan sitten AES (Advanced Encryption Standard) käyttäen RSA: n julkista avainta salausta.

Tällaista suojausta esiintyy hyvin harvoin haittaohjelmissa, Raiu sanoi. "Jotain vastaavaa käytettiin Flame cyberespionage haittaohjelmassa, mutta palvelinpuolella."

Tämä on joko tietoverkko-työkalu, jonka luoma kansakunnallinen valtio tai yksi niin sanotuista laillisista salausvälineistä, joita yksityiset urakoitsijat myyvät lainvalvontaan ja

Kaspersky Labilla ei vielä ole tietoja hyökkäyskohteista tai niiden jakelusta ympäri maailmaa, Raiu sanoi.

Lähetetty sähköpostitse keskiviikkona, FireEyen ylimmän turvallisuusjohtajan tutkimus, Zheng Bu, kieltäytyi kommentoimasta hyökkäyksen tavoitteita. FireEye julkaisi blogikirjoituksen, jossa on teknisiä tietoja haittaohjelmista keskiviikkona, mutta ei paljastanut tietoja uhreista.

Bu sanoi, että haittaohjelmat käyttävät tiettyjä tekniikoita havaitsemaan, suoritetaanko se virtuaalikoneella, jotta se voi välttää automaattisten haittaohjelmien analysointijärjestelmien havaitsemisen.