Penyelidik: Pengeksploitasi PDF senggarang mempengaruhi Adobe Reader 11, versi terdahulu

Para penyelidik dari firma keselamatan FireEye mendakwa bahawa penyerang secara aktif menggunakan eksploitasi pelaksanaan kod jauh yang berfungsi melawan versi terbaru Adobe Reader 9, 10 dan 11.

"Pada hari ini, kami mengenalpasti bahawa kelemahan [suntingan] PDF hari ini dieksploitasi di alam liar, dan kami mengamati eksploitasi yang berjaya pada Adobe PDF Reader 9.5.3, 10.1.5, dan 11.0.1, "kata para penyelidik FireEye pada Selasa lewat dalam jawatan blog.

Eksploit jatuh dan memuatkan dua fail DLL pada sistem. Satu fail memaparkan mesej ralat palsu dan membuka dokumen PDF yang digunakan sebagai umpan, kata penyelidik FireEye.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Eksploitasi pelaksanaan kod jauh kerap menyebabkan sasaran program untuk kemalangan. Dalam konteks ini, mesej ralat palsu dan dokumen kedua kemungkinan besar digunakan untuk menipu pengguna untuk mempercayai bahawa kemalangan itu adalah hasil dari kerosakan yang mudah dan program berjaya pulih.

Sementara itu, DLL kedua memasang komponen berbahaya yang memanggil kembali ke domain jauh, kata penyelidik FireEye.

Tidak jelas bagaimana eksploit PDF sedang disampaikan di tempat pertama-melalui e-mel atau melalui Web-atau yang merupakan sasaran serangan menggunakannya. FireEye tidak segera bertindak balas kepada permintaan untuk maklumat tambahan yang dihantar Rabu.

"Kami telah menyerahkan sampel kepada pasukan keselamatan Adobe," kata penyelidik FireEye dalam catatan blognya. "Sebelum kami mendapat pengesahan dari Adobe dan pelan mitigasi tersedia, kami mencadangkan agar anda tidak membuka fail PDF yang tidak diketahui."

Pasukan Respons Insiden Keselamatan Produk Adobe (PSIRT) mengesahkan hari ini dalam catatan blog yang sedang menyiasat laporan kerentanan dalam Adobe Reader dan Acrobat XI (11.0.1) dan versi terdahulu yang mengeksploitasi di alam liar.

Sebagai tindak balas kepada permintaan untuk kemas kini status yang dihantar Rabu, Heather Edell, pengurus kanan komunikasi korporat Adobe, berkata syarikat itu masih menyiasat.

Sandboxing adalah teknik anti-eksploitasi yang mengasingkan operasi sensitif program dalam persekitaran yang ketat untuk mencegah penyerang menulis dan melaksanakan kod jahat pada sistem dasar walaupun mengeksploitasi kelemahan pelaksanaan kod jauh tradisional dalam kod program.

Suatu kejayaan mengeksploitasi terhadap program pasir pasir perlu memanfaatkan beberapa kelemahan, termasuk satu yang membolehkan eksploit untuk melarikan diri dari kotak pasir. Keranan pintas kotak pasir sedemikian jarang terjadi, kerana kod yang menerapkan kotak pasir sebenarnya biasanya dikaji dengan teliti dan agak panjang berbanding dengan pangkalan data keseluruhan yang dapat mengandung kerentanan.

Adobe menambahkan mekanisme kotak pasir untuk mengisolasi operasi tulis bernama Dilindungi Mod dalam Adobe Reader 10. Kotak pasir terus diperluas untuk menampung operasi baca sahaja dalam Adobe Reader 11, melalui mekanisme kedua dipanggil Protected View.

Kembali pada bulan November, penyelidik keselamatan dari firma keselamatan Rusia Group-IB melaporkan bahawa eksploitasi untuk Adobe Reader 10 dan 11 telah dijual di forum jenayah siber untuk antara $ 30,000 dan $ 50,000.

"Sebelum pengenalan kotak pasir, Adobe Reader adalah salah satu aplikasi pihak ketiga yang paling disasarkan oleh penjenayah siber," Bogdan Botezatu, penganalisis e-ancaman senior di antivirus vendor BitDefender, berkata Rabu melalui e-mel. "Jika ini disahkan, penemuan lubang di kotak pasir akan menjadi penting dan pasti akan secara besar-besaran dieksploitasi oleh penjenayah siber."

Botezatu percaya bahawa melangkaui kotak pasir Adobe Reader adalah tugas yang sukar, tetapi dia menjangkakan ini akan berlaku pada satu ketika kerana banyaknya pemasangan Adobe Reader menjadikan produk itu sebagai sasaran menarik bagi penjenayah siber. "Tidak peduli berapa banyak syarikat yang melabur dalam ujian, mereka masih tidak dapat memastikan bahawa aplikasi mereka bebas daripada kegunaan ketika digunakan di mesin produksi," katanya.

Malangnya pengguna Adobe Reader tidak memiliki banyak pilihan untuk melindungi diri mereka jika kotak pasir yang melangkau eksploitasi sebenarnya wujud, kecuali kerana sangat berhati-hati mengenai apa file dan pautan yang mereka buka, kata Botezatu. Pengguna perlu mengemas kini pemasangan mereka sebaik sahaja patch tersedia, katanya.