Adobe Reader X/XI zero-day flaw found by Group-IB
Niedawno wykryty exploit, który omija ochronę przed wyzyskiem Sandbox w programach Adobe Reader 10 i 11, jest wysoce zaawansowany i prawdopodobnie jest częścią ważnej operacji polegającej na cyberprzestępstwie. - powiedział szef zespołu ds. analizy szkodliwego oprogramowania w firmie antywirusowej Kaspersky Lab.
Exploit odkryli we wtorek naukowcy z firmy ochroniarskiej FireEye, którzy twierdzili, że był on wykorzystywany w aktywnych atakach. Firma Adobe potwierdziła, że exploit działa przeciwko najnowszym wersjom programów Adobe Reader i Acrobat, w tym 10 i 11, które mają mechanizm ochrony piaskownicy.
"Adobe wie o raportach, że luki te są wykorzystywane w środowisku naturalnym w atakach ukierunkowanych oszukać użytkowników systemu Windows za kliknięcie szkodliwego pliku PDF dostarczonego w wiadomości e-mail "- poinformowała firma w opublikowanym w środę poradniku bezpieczeństwa.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]Adobe pracuje na łatce, ale tymczasem użytkownikom programu Adobe Reader 11 zaleca się włączenie trybu chronionego widoku, wybierając opcję "Pliki z potencjalnie niebezpiecznych lokalizacji" w menu Edycja> Preferencje> Bezpieczeństwo (ulepszone).
Exploit i instalowane przez nie złośliwe oprogramowanie jest superpoziomem, twierdzi Costin Raiu, dyrektor działu badań i analiz złośliwego oprogramowania firmy Kaspersky Lab. "To nie jest coś, co widzisz każdego dnia", powiedział w czwartek.
Sądząc po wyrafinowaniu ataków, Raiu stwierdził, że muszą one być częścią operacji o "ogromnym znaczeniu", która "byłaby na tym samym poziomie co Duqu. "
Duqu to wykryte w październiku 2011 r. Złośliwe oprogramowanie cyberprzestępczości związane ze Stuxnetem, wysoce wyrafinowanym robakiem komputerowym, któremu przypisano szkodliwe wirówki do wzbogacania uranu w irańskiej elektrowni jądrowej w Natanz. Uważa się, że zarówno Duqu, jak i Stuxnet zostały stworzone przez państwo narodowe.
Najnowszy exploit ma postać dokumentu PDF i atakuje dwie osobne luki w programie Adobe Reader. Jeden z nich służy do uzyskiwania arbitralnych uprawnień do wykonywania kodu, a jeden służy do ucieczki z piaskownicy Adobe Reader 10 i 11, powiedział Raiu.
Exploit działa w systemie Windows 7, w tym 64-bitowej wersji systemu operacyjnego, i pomija system Windows ASLR (mechanizm losowania układu przestrzeni adresowej) i mechanizm zapobiegania wyzyskowi DEP (Data Execution Prevention).
Po uruchomieniu exploit otwiera dokument wabika PDF zawierający formularz wniosku o wizę turystyczną, powiedział Raiu. Nazwa tego dokumentu to "Visaform Turkey.pdf."
Exploit ten również upuszcza i uruchamia komponent pobierający złośliwe oprogramowanie, który łączy się ze zdalnym serwerem i pobiera dwa dodatkowe składniki. Te dwa składniki kradną hasła i informacje o konfiguracji systemu i mogą rejestrować naciśnięcia klawiszy, powiedział.
Komunikacja między złośliwym oprogramowaniem i serwerem kontroli jest skompresowana za pomocą Zlib, a następnie zaszyfrowana za pomocą AES (Advanced Encryption Standard) użycie kryptografii z kluczem publicznym RSA.
Ten typ ochrony jest bardzo rzadko spotykany w złośliwym oprogramowaniu, powiedział Raiu. "Coś podobnego zostało użyte w szkodliwym oprogramowaniu Flame cyberespionage, ale po stronie serwera."
Jest to narzędzie cyberprzestępczości stworzone przez państwo narodowe lub jedno z tak zwanych narzędzi legalnego przechwytywania sprzedawanych przez prywatnych wykonawców organom ścigania i organom ścigania. agencje wywiadowcze za duże sumy pieniędzy, powiedział Raiu powiedział:
Kaspersky Lab nie ma jeszcze informacji na temat celów tego ataku ani ich dystrybucji na całym świecie.
Osiągnięty dzięki e-mailowi w środę, starszy dyrektor ochrony FireEye badania, Zheng Bu, odmówił komentarza na temat celów ataku. FireEye opublikował w blogu post z informacjami technicznymi na temat szkodliwego oprogramowania w środę, ale nie ujawnił żadnych informacji o ofiarach.
Bu powiedział, że złośliwe oprogramowanie wykorzystuje pewne techniki do wykrycia, czy jest wykonywane w maszynie wirtualnej, aby uniknąć wykrycia przez automatyczne systemy analizy złośliwego oprogramowania.
Czas zerowy Confickera nadchodzi bez zdarzenia - jeszcze

Czas aktywacji mija spokojnie, ale autorzy Confickera mogą się zastanawiać, mówią badacze.
Microsoft zamyka program zerowy otwór programu PowerPoint

Dzisiejszy wtorek poprawek skupił się wyłącznie na zamknięciu krytycznego, niedozwolonego otworu, a 13 innych w Aplikacja Office.
Virgin Mobile Mobilny Internet szerokopasmowy 3G, zerowy kontrakt

Usługa Virgin Mobile Broadband2Go pozwala łączyć się z siecią komórkową bez kosztownej umowy.