Adobe potvrzuje, že zneužívání nuly zablokuje karanténu aplikace Adobe Reader

Nedávno nalezený exploit, který obchází ochranu proti zneužití písku v Adobe Reader 10 a 11, je vysoce sofistikovaný a je pravděpodobně součástí významné operace cyberespionage, říká vedoucí týmu pro analýzu malwaru antivirového dodavatele společnosti Kaspersky Lab.

Výzkum byl objeven v úterý výzkumníci z bezpečnostní firmy FireEye, která uvedla, že byla používána při aktivním útoku. Společnost Adobe potvrdila, že exploit pracuje na nejnovějších verzích aplikací Adobe Reader a Acrobat, včetně 10 a 11, které mají mechanismus ochrany proti písku.

"Společnost Adobe si uvědomuje, že tyto chyby jsou využívány ve volné přírodě v cílených útocích aby uživatelé Windows mohli kliknout na škodlivý soubor PDF dodaný v e-mailové zprávě, "uvedla společnost v bezpečnostním poradenství zveřejněném ve středu.

Adobe Reader: Jak odstranit malware z počítače se systémem Windows

Adobe pracuje na opravu, ale uživatelům aplikace Adobe Reader 11 se doporučuje povolit režim chráněného zobrazení výběrem možnosti Soubory z potenciálně nebezpečných míst v nabídce Upravit> Předvolby> Zabezpečení (rozšířené).

Využít a malware, který instaluje, jsou super vysoké úrovně, říká Costin Raiu, ředitel výzkumného a analytického týmu společnosti Kaspersky Lab. "Není to něco, co vidíte každý den," řekl ve čtvrtek.

Raiu při hodnocení sofistikovanosti útoků dospěl k závěru, že musí být součástí operace "obrovského významu", že "bude na stejné úrovni s Duquem. "

Duqu je malý počítačový malware objevený v říjnu 2011, který souvisí s Stuxnetem, vysoce sofistikovaným počítačovým červem připsaným na poškozené odstředivky na obohacování uranu v íránské jaderné elektrárně v Natanzu. Obě společnosti Duqu a Stuxnet se domnívají, že byly vytvořeny národním státem.

Nejnovější exploit přichází ve formě dokumentu PDF a napadne dvě samostatné chyby v aplikaci Adobe Reader. Jeden se používá k získání libovolných oprávnění k provádění kódu a jeden se používá k úniku z karantény Adobe Reader 10 a 11.

Využití pracuje na systému Windows 7, včetně 64bitové verze operačního systému, a to obíhá mechanismy proti exploitaci systému Windows ASLR (randomisation layout layout randomization) a mechanismu DEP (Data Execution Prevention).

Po spuštění aplikace exploit otevře dokument PDF, který obsahuje formulář žádosti o vízum, řekl Raiu. Název tohoto dokumentu je "Visaform Turkey.pdf".

Využívání také klesá a spouští komponentu downloaderu škodlivého softwaru, který se připojuje ke vzdálenému serveru a stáhne dvě další součásti. Tyto dva komponenty ukradnou hesla a informace o konfiguraci systému a mohou zaznamenávat stisknutí kláves.

Komunikace mezi malwarem a serverem příkazu a kontroly je komprimována zlibem a pak šifrována pomocí AES (Advanced Encryption Standard) pomocí kryptografie s veřejným klíčem RSA.

Tento typ ochrany je velmi zřídka pozorován v malwaru, řekl Raiu. "Něco podobného bylo použito v malware Flame cyberespionage, ale na straně serveru."

Jedná se buď o nástroj cyberespionage vytvořený národním státem nebo jedním z takzvaných zákonných nástrojů zachycení prodávaných soukromými dodavateli pro vymáhání práva a že informace o cílech tohoto útoku nebo jejich distribuci po celém světě dosud nejsou k dispozici.

Dosáhl e-mail ve středu, ředitel společnosti FireEye pro bezpečnost výzkum, Zheng Bu, odmítl komentovat cíle útoku. Společnost FireEye zveřejnila blogový příspěvek s technickými informacemi o malwaru ve středu, ale neukázal žádné informace o oběti

Bu uvedl, že malware používá určité techniky k detekci, zda se provádí ve virtuálním stroji, takže se může vyhnout detekci pomocí automatizovaných systémů pro analýzu malwaru.