Adobe подтверждает, что обход в нулевом дне обойден в песочнице Adobe Reader

Недавно найденный эксплойт, который обходит защитную защиту от песочницы в Adobe Reader 10 и 11, является очень сложным и, вероятно, является частью важной операции по киберспорению, - сказал руководитель отдела анализа вредоносных программ в антивирусном магазине «Лаборатория Касперского».

Этот эксплойт был обнаружен во вторник исследователями из охранной фирмы FireEye, которые заявили, что они используются в активных атаках. Adobe подтвердила, что эксплойт работает с последними версиями Adobe Reader и Acrobat, включая 10 и 11, которые имеют механизм защиты от песочницы.

«Adobe знает о том, что эти уязвимости используются в дикой природе в целенаправленных атаках чтобы обмануть пользователей Windows, щелкнув по вредоносному файлу PDF, доставленному в сообщении электронной почты », - говорится в сообщении компании, опубликованном в среду.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Adobe работает на патче, но тем не менее пользователям Adobe Reader 11 рекомендуется включить режим защищенного просмотра, выбрав опцию «Файлы из потенциально опасных мест» в меню «Редактирование»> «Настройки»> «Безопасность (расширенное)».

Эксплуатация и вредоносное ПО, которое оно устанавливает, является супервысоким, по словам Костин Раю, директора группы исследований и анализа вредоносных программ «Лаборатории Касперского». «Это не то, что вы видите каждый день», сказал он в четверг.

Судя по сложности атак, Райю пришел к выводу, что они должны быть частью операции «огромного значения», которая «будет на одном уровне с Duqu.

Duqu - это часть вредоносного ПО, обнаруженного в октябре 2011 года, связанного с Stuxnet, высокотехнологичным компьютерным червем, зачисленным с повреждающими центрифугами для обогащения урана на иранской атомной станции в Натанзе. Предполагается, что и Duqu, и Stuxnet созданы национальным государством.

Последний эксплойт приходит в виде документа PDF и атакует две отдельные уязвимости в Adobe Reader. Один из них используется для получения привилегий при выполнении произвольного кода, а один используется для выхода из изолированной программной среды Adobe Reader 10 и 11, сказал Райу.

Эксплуатация работает в Windows 7, включая 64-разрядную версию операционной системы, и в обход ASHR (рандомизация компоновки адресного пространства) и DEP (Data Execution Prevention).

При выполнении эксплойт открывает документ с приманкой PDF, который содержит форму заявления на получение туристической визы, сказал Райу. Название этого документа - «Visaform Turkey.pdf.»

Эксплуатация также снижает и выполняет компонент загрузчика вредоносных программ, который подключается к удаленному серверу и загружает два дополнительных компонента. Эти два компонента крадут пароли и информацию о конфигурации системы и могут записывать нажатия клавиш, сказал он.

Связь между вредоносным ПО и сервером управления и управления сжата zlib, а затем зашифрована с помощью AES (Advanced Encryption Standard) используя криптографию с открытым ключом RSA.

Этот вид защиты очень редко встречается у вредоносных программ, сказал Райу. «Что-то подобное было использовано в вредоносной программе Flame cyberespionage, но на стороне сервера».

Это либо инструмент киберинизации, созданный национальным государством, либо один из так называемых законных инструментов перехвата, проданных частными подрядчиками для правоохранительных органов и разведывательные агентства за большие деньги, сказал он.

«Лаборатория Касперского» еще не располагает информацией об этих атаках или их распространении по всему миру, сказал Райу.

Достигнутый по электронной почте в среду старший директор FireEye по безопасности исследователь, Чжэн Бу, отказался комментировать цели атаки. FireEye опубликовала сообщение в блоге с технической информацией о вредоносном ПО в среду, но не раскрыла никакой информации о жертвах.

Bu сказал, что вредоносное ПО использует определенные методы, чтобы определить, выполняется ли он на виртуальной машине, чтобы он мог избежать обнаружения с помощью автоматизированных систем анализа вредоносных программ.