Adobe potwierdza, że ​​exploit zerowy eliminuje środowisko Adobe Sandbox

Niedawno wykryty exploit, który omija ochronę przed wyzyskiem Sandbox w programach Adobe Reader 10 i 11, jest wysoce zaawansowany i prawdopodobnie jest częścią ważnej operacji polegającej na cyberprzestępstwie. - powiedział szef zespołu ds. analizy szkodliwego oprogramowania w firmie antywirusowej Kaspersky Lab.

Exploit odkryli we wtorek naukowcy z firmy ochroniarskiej FireEye, którzy twierdzili, że był on wykorzystywany w aktywnych atakach. Firma Adobe potwierdziła, że ​​exploit działa przeciwko najnowszym wersjom programów Adobe Reader i Acrobat, w tym 10 i 11, które mają mechanizm ochrony piaskownicy.

"Adobe wie o raportach, że luki te są wykorzystywane w środowisku naturalnym w atakach ukierunkowanych oszukać użytkowników systemu Windows za kliknięcie szkodliwego pliku PDF dostarczonego w wiadomości e-mail "- poinformowała firma w opublikowanym w środę poradniku bezpieczeństwa.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Adobe pracuje na łatce, ale tymczasem użytkownikom programu Adobe Reader 11 zaleca się włączenie trybu chronionego widoku, wybierając opcję "Pliki z potencjalnie niebezpiecznych lokalizacji" w menu Edycja> Preferencje> Bezpieczeństwo (ulepszone).

Exploit i instalowane przez nie złośliwe oprogramowanie jest superpoziomem, twierdzi Costin Raiu, dyrektor działu badań i analiz złośliwego oprogramowania firmy Kaspersky Lab. "To nie jest coś, co widzisz każdego dnia", powiedział w czwartek.

Sądząc po wyrafinowaniu ataków, Raiu stwierdził, że muszą one być częścią operacji o "ogromnym znaczeniu", która "byłaby na tym samym poziomie co Duqu. "

Duqu to wykryte w październiku 2011 r. Złośliwe oprogramowanie cyberprzestępczości związane ze Stuxnetem, wysoce wyrafinowanym robakiem komputerowym, któremu przypisano szkodliwe wirówki do wzbogacania uranu w irańskiej elektrowni jądrowej w Natanz. Uważa się, że zarówno Duqu, jak i Stuxnet zostały stworzone przez państwo narodowe.

Najnowszy exploit ma postać dokumentu PDF i atakuje dwie osobne luki w programie Adobe Reader. Jeden z nich służy do uzyskiwania arbitralnych uprawnień do wykonywania kodu, a jeden służy do ucieczki z piaskownicy Adobe Reader 10 i 11, powiedział Raiu.

Exploit działa w systemie Windows 7, w tym 64-bitowej wersji systemu operacyjnego, i pomija system Windows ASLR (mechanizm losowania układu przestrzeni adresowej) i mechanizm zapobiegania wyzyskowi DEP (Data Execution Prevention).

Po uruchomieniu exploit otwiera dokument wabika PDF zawierający formularz wniosku o wizę turystyczną, powiedział Raiu. Nazwa tego dokumentu to "Visaform Turkey.pdf."

Exploit ten również upuszcza i uruchamia komponent pobierający złośliwe oprogramowanie, który łączy się ze zdalnym serwerem i pobiera dwa dodatkowe składniki. Te dwa składniki kradną hasła i informacje o konfiguracji systemu i mogą rejestrować naciśnięcia klawiszy, powiedział.

Komunikacja między złośliwym oprogramowaniem i serwerem kontroli jest skompresowana za pomocą Zlib, a następnie zaszyfrowana za pomocą AES (Advanced Encryption Standard) użycie kryptografii z kluczem publicznym RSA.

Ten typ ochrony jest bardzo rzadko spotykany w złośliwym oprogramowaniu, powiedział Raiu. "Coś podobnego zostało użyte w szkodliwym oprogramowaniu Flame cyberespionage, ale po stronie serwera."

Jest to narzędzie cyberprzestępczości stworzone przez państwo narodowe lub jedno z tak zwanych narzędzi legalnego przechwytywania sprzedawanych przez prywatnych wykonawców organom ścigania i organom ścigania. agencje wywiadowcze za duże sumy pieniędzy, powiedział Raiu powiedział:

Kaspersky Lab nie ma jeszcze informacji na temat celów tego ataku ani ich dystrybucji na całym świecie.

Osiągnięty dzięki e-mailowi ​​w środę, starszy dyrektor ochrony FireEye badania, Zheng Bu, odmówił komentarza na temat celów ataku. FireEye opublikował w blogu post z informacjami technicznymi na temat szkodliwego oprogramowania w środę, ale nie ujawnił żadnych informacji o ofiarach.

Bu powiedział, że złośliwe oprogramowanie wykorzystuje pewne techniki do wykrycia, czy jest wykonywane w maszynie wirtualnej, aby uniknąć wykrycia przez automatyczne systemy analizy złośliwego oprogramowania.