Adobe mengesahkan eksploitasi sifar sehari memintas kotak sandaran Adobe Reader

Eksploitasi yang baru-baru ini dijumpai yang memintas perlindungan anti-eksploitasi kotak pasir di Adobe Reader 10 dan 11 sangat canggih dan mungkin merupakan sebahagian daripada operasi cyberespionage yang penting, ketua pasukan analisis malware di penjual antivirus Kaspersky Lab berkata.

Eksploitasi itu ditemui Selasa oleh penyelidik dari firma keselamatan FireEye, yang mengatakan bahawa ia sedang digunakan dalam serangan aktif. Adobe mengesahkan bahawa eksploitasi berfungsi terhadap versi terbaru Adobe Reader dan Acrobat, termasuk 10 dan 11, yang mempunyai mekanisme perlindungan kotak pasir.

"Adobe menyedari laporan bahawa kelemahan ini sedang dieksploitasi dalam serangan liar dalam serangan yang dirancang untuk menipu pengguna Windows untuk mengklik pada fail PDF yang berisiko yang dihantar dalam mesej e-mel, "kata syarikat itu dalam penasihat keselamatan yang diterbitkan Rabu.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Adobe berfungsi pada patch, tetapi pada masa ini pengguna Adobe Reader 11 dinasihatkan untuk membolehkan mod Lihat Perlindungan dengan memilih pilihan "Fail dari lokasi yang berpotensi tidak selamat" di bawah menu Edit> Keutamaan> Keselamatan (Diperkaya).

Eksploitasi dan pemasangan perisian hasad itu adalah tahap tinggi super, menurut Costin Raiu, pengarah penyelidikan dan analisis analisis malware Kaspersky Lab. "Ia bukan sesuatu yang anda lihat setiap hari," katanya pada hari Khamis.

Dengan melihat kecanggihan serangan, Raiu membuat kesimpulan bahawa mereka mesti menjadi sebahagian daripada operasi "kepentingan besar" yang "akan berada pada tahap yang sama dengan Duqu. "

Duqu adalah sekeping malware siber yang ditemui pada bulan Oktober 2011 yang berkaitan dengan Stuxnet, cacing komputer yang sangat canggih dikreditkan dengan merosakkan sentrifug pengayaan uranium di kilang nuklear Iran di Natanz. Kedua-dua Duqu dan Stuxnet dipercayai telah diciptakan oleh negara bangsa.

Eksploitasi terkini datang dalam bentuk dokumen PDF dan menyerang dua kelemahan berasingan dalam Adobe Reader. Satu digunakan untuk mendapatkan keistimewaan pelaksanaan kod sewenang-wenang dan satu digunakan untuk melepaskan diri dari kotak pasir Adobe Reader 10 dan 11, kata Raiu.

Eksploitasi berfungsi pada Windows 7, termasuk versi sistem operasi 64-bit, dan itu memintas Windows ASLR (rawak peletakan ruang alamat) dan mekanisme anti-eksploitasi DEP (Pencegahan Pelaksanaan Data).

Apabila dilaksanakan, eksploit membuka dokumen PDF yang mengandung borang permohonan visa perjalanan, kata Raiu. Nama dokumen ini adalah "Visaform Turkey.pdf."

Eksploitasi juga menjatuhkan dan melaksanakan komponen pengunduhan malware yang menghubungkan ke pelayan jauh dan memuatkan dua komponen tambahan. Kedua-dua komponen mencuri kata laluan dan maklumat tentang konfigurasi sistem, dan boleh log ketukan kekunci, katanya.

Komunikasi antara malware dan pelayan arahan dan kawalan dikompresi dengan zlib dan kemudian disulitkan dengan AES (Advanced Encryption Standard) menggunakan kriptografi awam kunci RSA.

Perlindungan jenis ini sangat jarang dilihat dalam perisian hasad, kata Raiu. "Sesuatu yang serupa telah digunakan dalam malware CyberSpireage Flame, tetapi di sisi server."

Ini adalah salah satu alat cyberespionage yang dibuat oleh negara negara atau salah satu alat pemintasan yang sah yang dijual oleh kontraktor swasta kepada penguatkuasa undang-undang dan

Mencapai melalui e-mel pada hari Rabu, Pengarah Keselamatan Kanan FireEye penyelidikan, Zheng Bu, enggan mengulas tentang sasaran serangan itu. FireEye menerbitkan catatan blog dengan maklumat teknikal tentang perisian hasad pada hari Rabu, tetapi tidak mendedahkan sebarang maklumat mengenai mangsa.

Bu berkata bahawa malware menggunakan teknik tertentu untuk mengesan jika ia dijalankan dalam mesin maya supaya ia dapat mengelakkan pengesanan oleh sistem analisis malware automatik.