Tutkijat: Nollapäiväinen PDF-hyväksikäyttö vaikuttaa Adobe Reader 11: een, aikaisemmat versiot

FireEye-tietoturvayrityksen tutkijat väittävät, että hyökkääjät käyttävät aktiivisesti koodin etäsuoritusta, joka toimii uusimpien Adobe Reader -versioiden 9, 10 ja 11.

"Tänään havaitsimme, että PDF: n nollapäivää [haavoittuvuutta] käytetään hyväksi luonnossa, ja havaitsimme onnistuneen hyödyntämisen viimeisimmässä Adobe PDF Reader 9.5.3, 10.1.5 ja 11.0.1, "FireEye-tutkijat sanoivat blogikirjoituksensa myöhään tiistaina.

Hyöty hylkii ja lataa kaksi DLL-tiedostoa järjestelmässä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Kaukokoodin suorittaminen hyökkää säännöllisesti, koska se aiheuttaa kohdennetun virheilmoituksen ja avaa PDF-dokumentin, jota käytetään houkutteluna. ohjelmat kaatua. Tässä yhteydessä väärennetyn virhesanoman ja toisen asiakirjan käyttäminen todennäköisesti uskaltaa käyttäjät uskomaan, että kaatuminen on seurausta yksinkertaisesta toimintahäiriöstä ja ohjelma on onnistuneesti palautettu.

Toinen DLL asentaa haitallisen komponentin, joka kehottaa takaisin verkkotunnukselle, FireEye-tutkijat sanoivat.

Ei ole selvää, miten PDF-hyväksikäyttö toimitetaan ensiksi - sähköpostitse tai verkon välityksellä - tai jotka olivat sen käyttämien hyökkäysten kohteet.

"Olemme jo toimittaneet näytteen Adobe-tietoturvaryhmälle", FireEye-tutkijat sanoivat blogikirjoituksessa. "Ennen kuin saamme vahvistuksen Adobelta ja käytettävissä on lieventämissuunnitelma, suosittelemme, ettet avaa mitään tuntemattomia PDF-tiedostoja."

Adobe Product Security Incident Response Team (PSIRT) vahvisti tiistaina blogikirjoituksessa, että se tutkii raportti Adobe Readerin ja Acrobat XI: n (11.0.1) haavoittuvuudesta ja aikaisemmista versioista, jotka hyödynnetään luonnossa.

Vastauksena lähetettyyn statuspäivitykseen liittyvään pyyntöön Adamin vanhempi yritysviestinnän johtaja Heather Edell sanoi, että yritys tutkii vielä.

Sandboxing on hyökkäyksen estävän tekniikan, joka eristää ohjelman arkaluonteiset operaatiot tarkasti valvotussa ympäristössä estääkseen hyökkääjät kirjoittamasta ja suorittamaan haitallisen koodin taustalla olevalle järjestelmälle myös sen jälkeen, kun ohjelmakoodissa on käytetty perinteistä koodin suorittamisen haavoittuvuutta.

Onnistunut Hyötyä hiekkalaatikko-ohjelmaa vastaan ​​joutuisi hyödyntämään useita haavoittuvuuksia, mukaan lukien sellainen, joka mahdollistaa hyödyntämisen pakenemaan hiekkalaatikosta. Tällaiset sandbox-ohitushaavoittuvuudet ovat harvinaisia, koska varsinaista hiekkalaatikkoa toteuttava koodi on yleensä huolellisesti tarkistettu ja se on melko pieni verrattuna ohjelmiston kokonaiskoodipohjaan, joka voi sisältää haavoittuvuuksia.

Adobe lisäsi sandbox-mekanismin eristämään kirjoitusoperaatiot nimeltä Protected Adobe Reader 10: ssa. Sandboxia laajennettiin kattamaan vain luku -toiminnot Adobe Reader 11: ssä, toisella mekanismin nimellä Protected View.

Venäläisen tietoturvayrityksen Group-IB: n tietoturva-tutkijat ilmoittivat marraskuussa, että Adobe Reader 10: n ja 11: n hyödyntämistä myytiin tietoverkkorikollisissa foorumeilla 30 000 - 50 000 dollarin välillä. Adobe kertoi, ettei Adobe-tietokannan käyttöoikeuksia ole määritetty.

"Ennen hiekkalaatikon käyttöönottoa Adobe Reader oli yksi tietokonerikollisten kohdepisteistä kolmansien osapuolten sovelluksista", Bogdan Botezatu, virustorjuntaan erikoistunut e-uhka-analyytikko myyjä BitDefender, sanoi keskiviikkona sähköpostitse. "Jos tämä vahvistetaan, hiekkalaatikon reiän löytäminen on ratkaisevan tärkeää ja tietokonerikolliset hyötyvät siitä."

Botezatun mielestä Adobe Readerin hiekkalaatikon ohittaminen on vaikea tehtävä, mutta hän odottaa, että tämä tapahtuu jossain vaiheessa, koska Adobe Readerin suuret määrät tekevät tuotteesta houkuttelevan kohteen tietokonerikollisille. "Ei ole väliä kuinka paljon yritykset panostavat testaukseen, he eivät vieläkään pysty varmistamaan, että heidän sovelluksensa ovat virheettömiä, kun heidät otetaan käyttöön tuotantokoneissa."

Valitettavasti Adobe Reader -tietokoneilla ei ole monia vaihtoehtoja suojata itseään, jos hiekkalaatikko ohittaa hyötysuhteen, mutta ei ole erittäin varovainen siitä, mitä tiedostoja ja linkkejä ne avaavat, Botezatu sanoi. Käyttäjien tulisi päivittää laitteistot heti kun korjaustiedosto on saatavana, hän sanoi.