Forskere: Nul-dags PDF-udnyttelse påvirker Adobe Reader 11, tidligere versioner

Forskere fra sikkerhedsfirma FireEye hævder, at angribere aktivt bruger en ekstern kodeafvikling, der udnytter den nyeste version af Adobe Reader 9, 10 og 11.

"I dag identificerede vi, at en PDF-nul-dag [sårbarhed] udnyttes i naturen, og vi observerede en vellykket udnyttelse af den nyeste Adobe PDF Reader 9.5.3, 10.1.5 og 11.0.1 ", sagde FireEye-forskerne sent på tirsdag i et blogindlæg.

Udbyttet falder og indlæser to DLL-filer på systemet. Én fil viser en falsk fejlmeddelelse og åbner et PDF-dokument, der bruges som et lokkemiddel, siger FireEye-forskerne.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Fjernkodens udførelse udnytter regelmæssigt, at målrettede programmer til at gå ned. I denne sammenhæng bruges den falske fejlmeddelelse og det andet dokument mest sandsynligt til at narre brugere til at tro, at nedbruddet var resultatet af en simpel fejlfunktion, og programmet blev genoprettet.

I mellemtiden installerer den anden DLL en skadelig komponent, der kalder Tilbage til et fjernt domæne, sagde FireEye-forskerne.

Det er ikke klart, hvordan PDF-udnyttelsen bliver leveret i første omgang - via e-mail eller via internettet - eller hvem var målene for angrebene ved at bruge det. FireEye reagerede ikke straks på en anmodning om yderligere oplysninger sendt onsdag.

"Vi har allerede sendt prøven til Adobe-sikkerhedsteamet," sagde FireEye-forskerne i blogindlægget. "Før vi får bekræftelse fra Adobe, og der er en mindskelsesplan tilgængelig, foreslår vi, at du ikke åbner ukendte PDF-filer."

Adobe Product Security Incident Response Team (PSIRT) bekræftede tirsdag i et blogindlæg, at det undersøger en rapport om en sårbarhed i Adobe Reader og Acrobat XI (11.0.1), og tidligere versioner udnyttes naturligt. Risikoen for kunderne vurderes, siger teamet.

Som svar på en anmodning om statusopdatering sendt onsdag, sagde Heather Edell, Adobes seniorchef for corporate communications, at virksomheden stadig undersøger.

Sandboxing er en anti-udnyttelse teknik, der isolerer et programs følsomme operationer i et strengt kontrolleret miljø for at forhindre angribere i at skrive og udføre ondsindet kode på det underliggende system, selv efter at have udnyttet en sårbarhed i forbindelse med fjernbetjening af ekstern kode i programmets kode.

En succesfuld udnytte et sandbox-program, skulle skulle udnytte flere sårbarheder, herunder en, der gør det muligt for udbyderen at flygte fra sandkassen. Sådanne sandbox-bypass-sårbarheder er sjældne, fordi koden, der implementerer den egentlige sandkasse, normalt gennemgås nøje og er forholdsvis lille i længden i forhold til programmets overordnede kodebase, der kan indeholde sårbarheder.

Adobe tilføjede en sandkasse mekanisme til at isolere skriveoperationer kaldet Protected Modus i Adobe Reader 10. Sandkassen blev yderligere udvidet til også at omfatte skrivebeskyttede operationer i Adobe Reader 11 via en anden mekanisme, der hedder Beskyttet visning.

I november rapporterede sikkerhedsforskere fra det russiske sikkerhedsfirma Group-IB, at en udnyttelse til Adobe Reader 10 og 11 blev solgt på cybercriminal forums for mellem $ 30.000 og $ 50.000. Udnyttelsens eksistens blev ikke bekræftet af Adobe på det tidspunkt.

"Før introduktionen af ​​sandkassen var Adobe Reader en af ​​de mest målrettede tredjepartsprogrammer af cyberkriminelle", Bogdan Botezatu, en senior e-trussel analytiker på antivirus sælger BitDefender, sagde onsdag via email. "Hvis dette bekræftes, vil opdagelsen af ​​et hul i sandkassen være af afgørende betydning og vil helt sikkert blive massivt udnyttet af cyberkriminelle."

Botezatu mener, at omgåelse af Adobe Reader-sandkassen er en vanskelig opgave, men han forventede at dette skulle ske på et tidspunkt, fordi det store antal Adobe Reader-installationer gør produktet til et attraktivt mål for cyberkriminelle. "Uanset hvor mange virksomheder der investerer i test, kan de stadig ikke sikre, at deres applikationer er fejlfri, når de installeres på produktionsmaskiner," sagde han.

Desværre har Adobe Reader-brugere ikke mange muligheder for at beskytte sig selv, hvis en sandbox bypassing exploit eksisterer faktisk, bortset fra at være yderst forsigtig med hvilke filer og links de åbner, sagde botezatu. Brugere skal opdatere deres installationer, så snart en patch bliver tilgængelig, sagde han.