Adobe confirmă exploatarea zilnică de zero exploatează caseta Adobe Reader

Un exploatat recent găsit care ocolește protecția anti-exploatare a nisipurilor în Adobe Reader 10 și 11 este foarte sofisticat și este probabil parte a unei operații importante de cyberespionage, șeful echipei de analiză a malware-ului de la Kaspersky Lab a anunțat că explozia a fost descoperită marți de cercetători de la firma de securitate FireEye, care a declarat că a fost folosită în atacuri active. Adobe a confirmat că exploatarea funcționează împotriva celor mai recente versiuni ale Adobe Reader și Acrobat, inclusiv 10 și 11, care dispun de un mecanism de protecție a sandbox-urilor.

"Adobe este conștient de rapoartele că aceste vulnerabilități sunt exploatate în sălbăticie în atacurile direcționate pentru a împiedica utilizatorii de Windows să facă clic pe un fișier PDF rău intenționat livrat într-un mesaj de poștă electronică ", a declarat compania într-un aviz de securitate publicat miercuri.

[Mai multe informații: Cum să eliminați malware-ul de pe PC-ul dvs. de Windows] pe un patch, dar între timp utilizatorii programului Adobe Reader 11 sunt sfătuiți să activeze modul Protecție Vizualizată selectând opțiunea "Fișiere din zone potențial nesigure" din meniul Editare> Preferințe> Securitate (îmbunătățită).

Exploatarea și malware-ul pe care îl instalează este foarte înalt, potrivit lui Costin Raiu, director al echipei de cercetare și analiză a malware-ului Kaspersky Lab. "Nu e ceva ce vezi în fiecare zi", a spus el joi.

Judecând după sofisticarea atacurilor, Raiu a concluzionat că trebuie să facă parte dintr-o operațiune de "importanță imensă" care "ar fi la același nivel cu Duqu. "

Duqu este o piesă de malware cyberespionage descoperită în octombrie 2011, care este legată de Stuxnet, un vierme de calculator foarte sofisticat, creditat cu centrifuge de îmbogățire a uraniului dăunătoare la uzina nucleară a Iranului din Natanz. Atât Duqu, cât și Stuxnet se crede că au fost create de un stat-națiune.

Cel mai recent exploit vine sub forma unui document PDF și atacă două vulnerabilități separate în Adobe Reader. Unul este folosit pentru a obține privilegii arbitrare de executare a codului și unul este folosit pentru a scăpa de nisipurile Adobe Reader 10 și 11, a spus Raiu.

Exploatatorul funcționează pe Windows 7, inclusiv versiunea pe 64 de biți a sistemului de operare și (9)> Atunci când se execută exploatarea, se deschide un document PDF momeală care conține un formular de cerere de viză de călătorie, a spus Raiu. Numele acestui document este "Visaform Turkey.pdf".

Exploatarea cade și execută o componentă de descărcare a programelor malware care se conectează la un server de la distanță și descarcă două componente suplimentare. Aceste două componente fură parole și informații despre configurația sistemului și pot loga apăsările de taste.

Comunicarea dintre serverul malware și serverul de comandă și control este comprimată cu zlib și apoi criptată cu AES (Advanced Encryption Standard) utilizând criptografia cu cheie publică RSA.

Acest tip de protecție este foarte rar întâlnit în malware, a spus Raiu. "Ceva similar a fost folosit în malware-ul Flame cyberespionage, dar pe partea de server."

Acesta este fie un instrument de cyberespionage creat de un stat-națiune, fie unul dintre așa-numitele instrumente de interceptare legală vândute de contractori privați, informează Raiu.

Kaspersky Lab nu are încă informații despre obiectivele acestui atac sau distribuția lor în întreaga lume, a declarat Raiu.

Realizat prin e-mail miercuri, directorul de securitate al FireEye, senior cercetarea, Zheng Bu, a refuzat să comenteze obiectivele atacului. FireEye a publicat miercuri un post de blog cu informații tehnice despre malware, dar nu a dezvăluit nicio informație despre victime.

Bu a spus că malware-ul folosește anumite tehnici pentru a detecta dacă acesta este executat într-o mașină virtuală, astfel încât el poate evita detectarea de către sistemele de analiză automată a malware-ului.