Uusi vuosi, uudet hyökkäykset Adobe Zero-Day

Crookset hyödyntävät uudelleen nollapäiväistä reikää Adobe Readerissa ja Acrobatissa asennettaessa etäohjaus Trojan uhkakoneisiin.

Hyökkäykset alkavat haitallisella.pdf-tiedostolla, jonka Internet Storm Keskus on analysoinut perusteellisesti. ISC on vapaaehtoisjärjestö, joka seuraa Internet-hyökkäyksiä.

Kuten ISC toteaa, "haitalliset PDF-dokumentit eivät ole harvinainen näinä päivinä" ja hyökkäykset tyypillisesti liittävät ne sähköpostiviesteihin. Tietoturvaohjelmat eivät useinkaan vastaa kohdennetuista hyökkäyksistä, jotka lähetetään vain pienelle määrälle uhreja, ja ISC: n lähettämää hyökkäysnäytettä havaittiin alun perin vain kuudesta 40 virustentorjuntaohjelmasta.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Tämä erityisesti hyökkäys yrittää asentaa PoisonIvy Trojan -ohjelman, jonka avulla hyökkääjä voi saada etäohjauksen tartunnan saaneesta tietokoneesta. Se laskee myös vaarattoman.pdf-tiedoston, jonka nimi on baby.pdf, ja avaa sen sitten Readerin kanssa, hieman digitaalista kädensijaa, joka on tarkoitettu peittämään hyökkäys.

Adoben virhe on ollut hyökkäyksessä, koska se julkaistiin viimeisenä kuukausi. Adobe huomasi tietoturvatiedotteessaan, että tietyissä Windows- ja Reader-versioissa tämä tietoturva-aukko sallii vain Reader-ohjelman kaatumisen sen sijaan, että asennettaisiin haittaohjelmia.

Adobe kertoo julkaisevansa tiedotteen 12.1. siihen saakka ISC ehdottaa JavaScriptin lukituksen lukemista Reader- ja Acrobat-ohjelmista (ohjeet tiedotteessa). Esimerkiksi Foxit-työkalun, kuten.pdf-lukijan, pitäisi auttaa vähentämään uhkaa.