Исследователи: эксплойт Zero-day PDF влияет на Adobe Reader 11, более ранние версии

Исследователи из охранной фирмы FireEye заявляют, что злоумышленники активно используют эксплойт с удаленным выполнением кода, который работает против последних версий Adobe Reader 9, 10 и 11.

«Сегодня мы определили, что уязвимость в формате PDF с нулевым днем ​​[уязвимость] используется в дикой природе, и мы наблюдали успешную эксплуатацию в последних Adobe PDF Reader 9.5.3, 10.1.5 и 11.0.1 ", исследователи FireEye заявили в конце вторника в сообщении в блоге.

Эксплоит распаковывает и загружает два файла DLL в системе. По словам исследователей FireEye, один файл отображает ложное сообщение об ошибке и открывает документ PDF, который используется в качестве приманки.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Удаленные эксплойты выполнения кода регулярно вызывают целевое программы для краха. В этом контексте ложное сообщение об ошибке и второй документ, скорее всего, используются, чтобы обмануть пользователей, считая, что авария была результатом простой неисправности, и программа успешно восстановилась.

Между тем вторая DLL устанавливает вредоносный компонент, который вызывает назад в удаленный домен, сказали исследователи FireEye.

Непонятно, как в первую очередь используется эксплойт PDF - по электронной почте или через Интернет - или кто был объектом атак с его использованием. FireEye не сразу ответила на запрос дополнительной информации, отправленной в среду.

«Мы уже представили образец команде безопасности Adobe», - сказали исследователи FireEye в сообщении в блоге. «До того, как мы получим подтверждение от Adobe, и доступен план смягчения, мы предлагаем вам не открывать какие-либо неизвестные файлы PDF».

Команда реагирования на инциденты с безопасностью продуктов Adobe (PSIRT) подтвердила во вторник в блоге, что она исследует отчет об уязвимости в Adobe Reader и Acrobat XI (11.0.1) и более ранних версиях, работающих в дикой природе. Оценка риска для клиентов оценивается, сказала команда.

В ответ на запрос о обновлении статуса, отправленный в среду, Хизер Эделл, старший менеджер Adobe по корпоративным коммуникациям, сказал, что компания все еще расследует.

Песочница который изолирует чувствительные операции программы в строго контролируемой среде, чтобы предотвратить атакующих от записи и выполнения вредоносного кода в базовой системе даже после использования традиционной уязвимости выполнения кода в коде программы.

Успешный использовать против изолированной программы придется использовать несколько уязвимостей, в том числе тот, который позволяет эксплоиту выйти из песочницы. Такие уязвимости для шунтирования являются редкими, потому что код, который реализует настоящую песочницу, обычно тщательно проверяется и имеет довольно небольшую длину по сравнению с общей кодовой базой программы, которая может содержать уязвимости.

Adobe добавила механизм песочницы для изоляции операций записи под названием Protected Mode в Adobe Reader 10. Песочница была дополнительно расширена, чтобы охватить операции только для чтения, а также в Adobe Reader 11, через второй механизм под названием Protected View.

Еще в ноябре исследователи безопасности из российской охранной фирмы Group-IB сообщили, что эксплойт для Adobe Reader 10 и 11 был продан на кибер-криминальных форумах от 30 000 до 50 000 долларов. В то время существование эксплойта не было подтверждено Adobe.

«До появления песочницы Adobe Reader была одним из самых целевых сторонних приложений киберпреступниками», - сказал Богдан Ботезату, старший аналитик по электронной угрозе в антивирусе поставщика BitDefender, заявил в среду по электронной почте. «Если это подтвердится, открытие дыры в песочнице будет иметь решающее значение и определенно станет широко использоваться киберпреступниками».

Ботезату считает, что в обход изолированной программы Adobe Reader сложная задача, но он ожидал, что это произойдет в какой-то момент, потому что большое количество установок Adobe Reader делает продукт привлекательной для киберпреступников. «Независимо от того, сколько компаний инвестируют в тестирование, они по-прежнему не могут гарантировать, что их приложения будут недоступны при развертывании на производственных машинах», - сказал он.

К сожалению, пользователи Adobe Reader не имеют большого количества возможностей защитить себя, если песочница, минуя эксплойт, фактически существует, за исключением того, что она очень осторожна с тем, какие файлы и ссылки они открывают, сказал Ботезату. По его словам, пользователи должны обновлять свои установки, как только будет доступен патч.