חוקרים: אפס יום PDF לנצל לנצל את Adobe Reader 11, גירסאות מוקדמות יותר

חוקרים מחברת האבטחה FireEye טוענים כי התוקפים פועלים באופן פעיל ניצול קוד מרחוק לנצל שפועל נגד הגירסאות העדכניות ביותר של Adobe Reader 9, 10 and 11.

"היום, זיהינו כי פגיעות של יום אפס ב- PDF מנוצלת בטבע, וצפינו בניצול מוצלח של Adobe PDF Reader 9.5.3, 10.1.5 11.0.1 ", אמרו החוקרים של FireEye ביום שלישי שעבר בבלוג.

הניצול נופל ועומס על שני קבצי DLL במערכת. קובץ אחד מציג הודעת שגיאה מזויפת ופותח מסמך PDF המשמש כמפסק, אמרו החוקרים של FireEye. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

ביצוע קוד מרחוק מנצל באופן קבוע לגרום למיקוד תוכניות לקרוס. בהקשר זה, הודעת השגיאה המזויפת והמסמך השני משמשים ככל הנראה כדי להטעות את המשתמשים ולהאמין שהתרסקות היתה תוצאה של תקלה פשוטה והתוכנה התאוששה בהצלחה.

בינתיים, ה- DLL השני מתקינו רכיב זדוני שקורא חזרה לתחום מרוחק, אמרו החוקרים של FireEye.

לא ברור כיצד ה- PDF מנצל מועבר מלכתחילה - באמצעות דואר אלקטרוני או דרך האינטרנט - או מי היו מטרות ההתקפות המשתמשות בו. FireEye לא הגיב מיד לבקשה למידע נוסף שנשלח ביום רביעי.

"כבר הגשנו את המדגם לצוות האבטחה של Adobe", אמרו החוקרים של FireEye בבלוג. "לפני שנקבל אישור מ- Adobe ותוכנית הקלה תהיה זמינה, אנו ממליצים שלא לפתוח קבצי PDF לא ידועים."

צוות התגובה לאירוע אבטחה של Adobe (PSIRT) אישר ביום שלישי בבלוג כי הוא בודק דיווח על פגיעות ב- Adobe Reader ו- Acrobat XI (11.0.1) וגרסאות מוקדמות יותר המנצלות בטבע. לדברי החוקרים, בתגובה לבקשה לעדכון סטטוס שנשלח ביום רביעי, הת'ר אדל, המנהלת הבכירה של אדובי תקשורת תאגידית, אמרה כי החברה עדיין חוקרת.

Sandboxing הוא טכניקת אנטי-ניצול המבודדת פעולות רגישות של תוכנית בסביבה מבוקרת לחלוטין, כדי למנוע מהתוקפים לכתוב ולבצע קוד זדוני במערכת הבסיסית, גם לאחר ניצול פגיעות של ביצוע קוד מרחוק בקוד התוכנית.

לנצל נגד תוכנית sandboxed יצטרך למנף פגיעויות מרובות, כולל אחד המאפשר לנצל לנצל את ארגז חול. פגיעות מעקף ארגז חול אלה הן נדירות, מכיוון שהקוד המיישם את ארגז חול בפועל נבדק בקפידה, והוא קטן למדי בהשוואה לקוד הבסיס הכולל של התוכנית, שעלול להכיל נקודות תורפה.

Adobe הוסיף מנגנון ארגז חול לבידוד פעולות כתיבה בשם Protected מצב ב- Adobe Reader 10. ארגז החול הורחב עוד יותר כדי לכסות פעולות קריאה בלבד גם ב- Adobe Reader 11, באמצעות מנגנון שני שנקרא Protected View.

חזרה בנובמבר, דיווחו חוקרי אבטחה של חברת האבטחה הרוסית Group-IB לנצל עבור Adobe Reader 10 ו 11 היה נמכר על פורומים cybercriminal בין $ 30,000 ל $ 50,000. "לפני ההקדמה של ארגז חול, Adobe Reader היה אחד היישומים הממוקדים ביותר של צד שלישי על ידי עבריינים באינטרנט", בוגדאן Botezatu, אנליסט בכיר איום אלקטרוני אנטי וירוס הספק BitDefender, אמר ביום רביעי בדוא"ל. "אם זה יאושר, גילוי של חור בארגז חול יהיה בעל חשיבות מכרעת ויהיה בהחלט להיות מנוצל באופן מאסיבי על ידי עברייני אינטרנט."

Botezatu מאמין כי עקיפת Adobe sandbox ארגז היא משימה קשה, אבל הוא ציפה שזה יקרה בשלב מסוים, כי מספר גדול של Adobe Reader התקנות עושה את המוצר יעד אטרקטיבי עבור עברייני אינטרנט. "לא משנה כמה חברות להשקיע בבדיקה, הם עדיין לא יכולים להבטיח כי היישומים שלהם הם באג חינם כאשר פרוסים על מכונות הייצור", אמר.

למרבה הצער, משתמשי Adobe Reader אין אפשרויות רבות כדי להגן על עצמם אם ניצול לרעה של ארגז חול קיים למעשה, מלבד היותו זהיר מאוד של קבצים וקישורים שהם פותחים, אמר Botezatu. על המשתמשים לעדכן את התקנות שלהם ברגע שהתיקון יהפוך לזמין, אמר