Adobe מאשרת אפס יום ניצול מעקף Adobe Reader ארגז חול

לאחרונה נמצא לנצל כי עוקף את ההגנה נגד ניצול ארגז חול ב Adobe Reader 10 ו 11 הוא מתוחכם מאוד, והוא כנראה חלק חשוב cyberespionage המבצע, אמר ראש צוות ניתוח תוכנות זדוניות על ספק אנטי וירוס Kaspersky Lab.

הניצול התגלה ביום שלישי על ידי חוקרים של חברת האבטחה FireEye, שאמר כי הוא נמצא בשימוש בהתקפות אקטיביות. Adobe אישרה כי לנצל לנצל את הגרסאות העדכניות ביותר של Adobe Reader ו Acrobat, כולל 10 ו 11, אשר יש מנגנון הגנה ארגז חול.

"Adobe מודעת דיווחים כי פגיעויות אלה מנוצלים בטבע התקפות ממוקדות תוכנן כדי להערים על משתמשי Windows כדי ללחוץ על קובץ PDF זדוני שנשלח בהודעת דוא"ל ", אמרה החברה בעלון אבטחה שפורסם ביום רביעי.

[המשך קריאה: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

Adobe עובדת על תיקון, אבל בינתיים משתמשים של Adobe Reader 11 מומלץ להפעיל את מצב View Protected על ידי בחירה באפשרות "קבצים מתוך מקומות פוטנציאליים לא בטוחים" תחת תפריט עריכה> העדפות> אבטחה (משופרת).

לנצל את התוכנה הזדונית היא מתקינה הם ברמה גבוהה סופר, על פי קוסטין Raiu, מנהל המחקר תוכנות זדוניות של מעבדת קספרסקי וניתוח צוות. "זה לא משהו שאתה רואה כל יום", הוא אמר ביום חמישי. "על פי התחכום של ההתקפות, Raiu סיכם כי הם חייבים להיות חלק ממבצע של" חשיבות עצומה "כי" יהיה באותה רמה עם Duqu. "

Duqu הוא חלק מתוכנה זדונית של cyberespionage שהתגלתה באוקטובר 2011 הקשורה ל- Stuxnet, תולעת המחשב המתוחכמת ביותר, המזוכה בצנטריפוגות מזיקות של אורניום לצורכי העשרת האורניום במתקן הגרעין האיראני בנתאנז. הן Duqu והן Stuxnet מאמינים כי נוצרו על ידי מדינת לאום.

הניצול האחרון מגיע בצורה של מסמך PDF ותוקף שתי פגיעויות נפרדות ב- Adobe Reader. אחד מהם משמש להשגת הרשאות לביצוע קוד שרירותי ואחד משמש להימלט מארגז הכלים Adobe Reader 10 ו- 11, אומר Raiu.

הפונקציה הזו פועלת ב- Windows 7, כולל גירסת 64 סיביות של מערכת ההפעלה, והיא עוקף את ה- ASLR של Windows (אקראיות של פריסת מרחב הכתובות) ומנגנוני מניעת ניצול נתונים (DEP) (מניעת ביצוע נתונים).

בעת ביצוע הפעולה, הניצול פותח מסמך PDF של דמה המכיל טופס בקשה לויזה, אמר Raiu. שמו של מסמך זה הוא "Visaform Turkey.pdf."

לנצל גם טיפות ומבצע רכיב Downloader תוכנה זדונית המתחבר לשרת מרוחק מוריד שני רכיבים נוספים. אלה שני מרכיבים לגנוב סיסמאות ומידע על תצורת המערכת, והוא יכול להתחבר הקשות, הוא אמר.

התקשורת בין תוכנות זדוניות לשרת פקודה ובקרה הוא דחוס עם zlib ולאחר מכן מוצפן עם AES (Advanced Encryption Standard) באמצעות קריפטוגרפיה של מפתח RSA.

סוג זה של הגנה נדיר מאוד לראות בתוכנות זדוניות, אמר Raiu. "משהו דומה היה בשימוש בתוכנה הזדונית של הלהבה הקיברנטית, אבל בצד השרת."

זהו כלי cyberespionage שנוצרו על ידי מדינת לאום או אחד שנקרא שנקרא יירוט חוקי מכר על ידי קבלנים פרטיים לאכיפת החוק, אמר ריו.

> <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< מחקר, ג'נג בו, סירב להגיב על מטרות ההתקפה. FireEye פרסם פוסט בבלוג עם מידע טכני על תוכנות זדוניות ביום רביעי, אבל לא לחשוף כל מידע על הקורבנות.

בו אמר כי תוכנות זדוניות משתמשת בטכניקות מסוימות כדי לזהות אם זה להיות מבוצע במכונה וירטואלית, כך שהוא יכול להתחמק גילוי על ידי מערכות אוטומטיות ניתוח תוכנות זדוניות.