Kinukumpirma ng Adobe na zero-day exploit bypasses sandbox ng Adobe Reader

Ang pagsasamantala ay natuklasan noong Martes ng mga mananaliksik mula sa security firm na FireEye, na nagsabing ginagamit ito sa mga aktibong pag-atake. Nakumpirma ng Adobe na ang mga pagsasamantala ay gumagana laban sa mga pinakabagong bersyon ng Adobe Reader at Acrobat, kabilang ang 10 at 11, na may isang mekanismo ng proteksyon ng sandbox.

"Alam ng Adobe ang mga ulat na ang mga kahinaan na ito ay pinagsamantalahan sa ligaw sa naka-target na mga pag-atake na dinisenyo upang linlangin ang mga gumagamit ng Windows sa pag-click sa isang nakakahamak na file na PDF na naihatid sa isang mensaheng e-mail, "sinabi ng kumpanya sa isang advisory ng seguridad na inilathala Miyerkules.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]

sa isang patch, ngunit sa ngayon ang mga gumagamit ng Adobe Reader 11 ay pinapayuhan na paganahin ang mode na Protected View sa pamamagitan ng pagpili ng pagpipiliang "Mga file mula sa mga potensyal na hindi ligtas na mga lokasyon" sa ilalim ng menu na Edit> Preferences> Security (Pinahusay). ang pag-install ng malware ay sobrang mataas na antas, ayon kay Costin Raiu, direktor ng malware research and analysis team ng Kaspersky Lab. "Ito ay hindi isang bagay na nakikita mo araw-araw," sinabi niya Huwebes.

Sa paghusga sa pamamagitan ng pagiging sopistikado ng mga pag-atake, Raiu concluded na dapat sila ay bahagi ng isang operasyon ng "malaking kahalagahan" na "ay sa parehong antas ng Duqu. "

Duqu ay isang piraso ng cyberespionage malware na natuklasan noong Oktubre 2011 na may kaugnayan sa Stuxnet, ang lubos na sopistikadong worm ng computer na nakilala sa nakakapinsalang uranium enrichment centrifuges sa nuclear plant ng Iran sa Natanz. Ang parehong Duqu at Stuxnet ay pinaniniwalaan na nalikha ng isang bansa na estado.

Ang pinakabagong pinagsamantalahan ay nagmumula sa anyo ng isang PDF na dokumento at inaatake ang dalawang hiwalay na mga kahinaan sa Adobe Reader. Ang isa ay ginagamit upang makakuha ng mga pribilehiyo ng pagpapatupad ng di-makatwirang mga code at ang isa ay ginagamit upang makatakas mula sa sandbox ng Adobe Reader 10 at 11, sinabi ni Raiu.

Ang mga pinagsamantalahan ay gumagana sa Windows 7, kabilang ang 64-bit na bersyon ng operating system, at ito sa pamamagitan ng Windows ASLR (randomization layout space layout) at DEP (Data Execution Prevention) anti-exploitation mechanism.

Kapag naisakatuparan, ang exploit magbubukas ng decoy PDF document na naglalaman ng travel visa application form, sinabi ni Raiu. Ang pangalan ng dokumentong ito ay "Visaform Turkey.pdf."

Ang pagsasamantala ay bumaba at nagsasagawa ng isang malware downloader component na nag-uugnay sa isang remote server at nagda-download ng dalawang karagdagang mga bahagi. Ang dalawang bahagi ay nakawin ang mga password at impormasyon tungkol sa pagsasaayos ng system, at maaaring mag-log keystroke, sinabi niya.

Ang komunikasyon sa pagitan ng malware at ang command-and-control server ay naka-compress na may zlib at pagkatapos naka-encrypt na may AES (Advanced Encryption Standard) gamit ang RSA public-key cryptography.

Ang ganitong uri ng proteksyon ay napakaliit na nakikita sa malware, sinabi ni Raiu. "Ang isang katulad na bagay ay ginamit sa Flame cyberespionage malware, ngunit sa server side."

Ito ay alinman sa isang cyberespionage tool na nilikha ng isang bansa na estado o isa sa mga tinatawag na legal na mga kasangkapan sa pagharang na ibinebenta ng mga pribadong kontratista sa pagpapatupad ng batas at

Nakarating na sa pamamagitan ng email noong Miyerkules, ang senior director ng seguridad ng FireEye Ang pananaliksik, Zheng Bu, ay tumanggi na magkomento sa mga target na atake. Inilathala ng FireEye ang isang post sa blog na may teknikal na impormasyon tungkol sa malware noong Miyerkules, ngunit hindi ibinunyag ang anumang impormasyon tungkol sa mga biktima.

Sinabi ni Bu na ang malware ay gumagamit ng ilang mga diskarte upang makita kung ito ay na-execute sa isang virtual machine upang maaari itong maiwasan ang pagtuklas ng mga automated na sistema ng pagtatasa ng malware.