Adobe bekræfter omdirigering af nul-dag udbytter Adobe Reader-sandkasse

En nyligt fundet udnyttelse, der omgår beskyttelsen mod beskyttelse af sandkassen i Adobe Reader 10 og 11, er yderst sofistikeret og er sandsynligvis en del af en vigtig cyberspionageoperation, sagde lederen af ​​malwareanalyseteamet hos antivirusleverandøren Kaspersky Lab.

Udnyttelsen blev opdaget tirsdag af forskere fra sikkerhedsfirma FireEye, som sagde, at det blev brugt i aktive angreb. Adobe bekræftede, at udnyttelsen fungerer mod de nyeste versioner af Adobe Reader og Acrobat, herunder 10 og 11, som har en sandkassebeskyttelsesmekanisme.

"Adobe er opmærksom på rapporter om, at disse sårbarheder udnyttes vildt i målrettede angreb designet at lure Windows-brugere til at klikke på en ondskabsfuld PDF-fil, der leveres i en e-mail-meddelelse, "sagde firmaet i en sikkerhedsrådgivende udgave onsdag.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Adobe arbejder på en patch, men i mellemtiden anbefales det, at brugere af Adobe Reader 11 aktiverer tilstanden Beskyttet visning ved at vælge indstillingen "Filer fra potentielt usikre steder" under menuen Rediger> Indstillinger> Sikkerhed (forbedret).

Udnyttelsen og den malware, den installerer, er super højt niveau, ifølge Costin Raiu, direktør for Kaspersky Labs malwareforsknings- og analyseteam. "Det er ikke noget, du ser hver dag," sagde han torsdag.

Raiu konkluderede, at de måtte indgå i en operation af "stor betydning", som "ville være på samme niveau med Duqu. "

Duqu er et stykke cyberespionage malware opdaget i oktober 2011, der er relateret til Stuxnet, den meget sofistikerede computerorm, der er krediteret skadelige uranberigelsescentrifuger i Irans atomkraftværk i Natanz. Både Duqu og Stuxnet menes at være blevet oprettet af en nationalstat.

Den seneste udnyttelse kommer i form af et PDF-dokument og angriber to separate sårbarheder i Adobe Reader. En er brugt til at få vilkårlige kodeudførelsesrettigheder, og man er vant til at flygte fra sandboxen Adobe Reader 10 og 11, siger Raiu.

Udnyttelsen virker på Windows 7, herunder 64-bit version af operativsystemet, og det omgåelse af Windows ASLR (Address Space Layout Randomization) og DEP (Data Execution Prevention) anti-udnyttelsesmekanismer.

Når den udføres, åbner exploit et decoy PDF-dokument, der indeholder et rejsevisumansøgningsskema, sagde Raiu. Navnet på dette dokument er "Visaform Turkey.pdf."

Udbyttet dræber og udfører også en malware-downloader-komponent, der forbinder til en fjernserver og overfører to yderligere komponenter. Disse to komponenter stjæler adgangskoder og oplysninger om systemkonfigurationen og kan logge tastetryk, sagde han.

Kommunikationen mellem malware og kommando- og kontrolserveren komprimeres med zlib og krypteres derefter med AES (Advanced Encryption Standard) ved hjælp af RSA public key-kryptering.

Denne type beskyttelse ses meget sjældent i malware, sagde Raiu. "Noget lignende blev brugt i Flame cyberespionage malware, men på server side."

Dette er enten et cyberespionage værktøj oprettet af en nationalstat eller et af de såkaldte lovlige aflytningsværktøjer, der sælges af private entreprenører til retshåndhævelse og efterretningstjenester for store pengesummer, sagde han.

Kaspersky Lab har endnu ikke oplysninger om dette angrebs mål eller deres fordeling rundt om i verden, sagde Raiu.

FireEyes senior sikkerhedsdirektør nåede til onsdag. forskning, Zheng Bu, nægtede at kommentere angrebets mål. FireEye udgav et blogpost med tekniske oplysninger om malware på onsdag, men afslørede ikke nogen oplysninger om ofre.

Bu sagde, at malware bruger visse teknikker til at opdage, om den udføres i en virtuel maskine, så det kan undgå registrering ved hjælp af automatiserede malwareanalysesystemer.