Adobe ยืนยันการใช้ประโยชน์จากช่องโหว่ zero-day บายพาส Sandbox ของ Adobe Reader

การใช้ประโยชน์จากการใช้ประโยชน์จากแซนด์บ็อกซ์ใน Adobe Reader 10 และ 11 มีความซับซ้อนสูงและน่าจะเป็นส่วนหนึ่งของการดำเนินงานไซเบอร์เบรคที่สำคัญ หัวหน้าทีมวิเคราะห์ของมัลแวร์ของ Kaspersky Lab กล่าวว่าการค้นพบนี้ถูกค้นพบเมื่อวันอังคารโดยนักวิจัยจาก บริษัท รักษาความปลอดภัย FireEye ผู้ซึ่งกล่าวว่าถูกใช้ในการโจมตีที่ใช้งานอยู่ Adobe ยืนยันว่าการโจมตีดังกล่าวทำงานร่วมกับ Adobe Reader และ Acrobat รุ่นล่าสุดซึ่งรวมถึง 10 และ 11 ซึ่งมีกลไกการป้องกัน Sandbox

"Adobe ตระหนักดีถึงรายงานว่าช่องโหว่ดังกล่าวถูกใช้ประโยชน์ในป่าในการโจมตีที่กำหนดเป้าหมาย เพื่อหลอกให้ผู้ใช้ Windows คลิกที่ไฟล์ PDF ที่เป็นอันตรายซึ่งจัดส่งในข้อความอีเมล "บริษัท กล่าวในการให้คำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันพุธที่ผ่านมา

<อ่านต่อ: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows>

Adobe กำลังทำงานอยู่ บนแพทช์ แต่ในระหว่างนี้ผู้ใช้ Adobe Reader 11 ควรเปิดใช้งานโหมด Protected View โดยเลือกตัวเลือก "ไฟล์จากที่อาจไม่ปลอดภัย" ภายใต้เมนูแก้ไข> ค่ากำหนด> ความปลอดภัย (Enhanced)

การใช้ประโยชน์และ มัลแวร์ติดตั้งอยู่ในระดับสูงมาก Costin Raiu ผู้อำนวยการทีมวิจัยและวิเคราะห์มัลแวร์ของ Kaspersky Lab กล่าว "นี่ไม่ใช่สิ่งที่คุณเห็นทุกวัน" เขากล่าวเมื่อวันพฤหัสบดีที่ผ่านมา

การตัดสินโดยความซับซ้อนของการโจมตี Raiu ได้ข้อสรุปว่าพวกเขาต้องเป็นส่วนหนึ่งของการดำเนินงานที่ "สำคัญมาก" ว่า "จะอยู่ในระดับเดียวกับ Duqu Duqu เป็นชิ้นส่วนของมัลแวร์ในโลกไซเบอร์ที่ค้นพบเมื่อเดือนตุลาคม 2554 ซึ่งเกี่ยวข้องกับ Stuxnet ซึ่งเป็นเครื่องคอมพิวเตอร์ที่มีความซับซ้อนสูงที่ได้รับความเสียหายจากเครื่องปั่นไฟยูเรเนียมที่โรงงานนิวเคลียร์ของอิหร่านในเมือง Natanz ทั้ง Duqu และ Stuxnet เชื่อว่าได้รับการสร้างขึ้นโดยรัฐชาติหนึ่ง ๆ

การใช้ประโยชน์ล่าสุดมาในรูปแบบของเอกสาร PDF และโจมตีสองช่องโหว่ที่แยกกันใน Adobe Reader One ถูกใช้ในการรับสิทธิการเรียกใช้โค้ดโดยพลการและหนึ่งในนั้นถูกใช้เพื่อหลบหนีจากช่องโหว่ Adobe Reader 10 และ 11 Raiu กล่าวว่า

การใช้ประโยชน์จาก Windows 7 รวมถึงระบบปฏิบัติการเวอร์ชัน 64 บิตและ หลีกเลี่ยงการใช้ Windows ASLR (การจัดรูปแบบพื้นที่ว่าง) และกลไกการป้องกันการเอารัดเอาเปรียบ DEP (Data Execution Prevention)

เมื่อดำเนินการแล้วการใช้ประโยชน์จะเป็นการเปิดเอกสาร PDF Decoy ที่มีรูปแบบการยื่นขอวีซ่าท่องเที่ยว ชื่อของเอกสารนี้คือ "Visaform Turkey.pdf"

การใช้ประโยชน์ยังลดลงและเรียกใช้คอมโพเนนต์ downloader มัลแวร์ที่เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลและดาวน์โหลดส่วนประกอบเพิ่มเติมอีก 2 องค์ประกอบ คอมโพเนนต์ทั้งสองนี้ขโมยรหัสผ่านและข้อมูลเกี่ยวกับการกำหนดค่าระบบและสามารถบันทึกการกดแป้นพิมพ์ได้ด้วยเขากล่าว

การสื่อสารระหว่างมัลแวร์กับเซิร์ฟเวอร์ควบคุมและควบคุมถูกบีบอัดด้วย zlib และเข้ารหัสด้วย AES (Advanced Encryption Standard) โดยใช้การเข้ารหัสลับ RSA public-key

การป้องกันประเภทนี้ไม่ค่อยเห็นในมัลแวร์ Raiu กล่าว "มีบางอย่างที่คล้ายคลึงกันในมัลแวร์ไซเบอร์สปริงฟิลด์ของ Flame แต่อยู่ในฝั่งเซิร์ฟเวอร์"

นี่เป็นเครื่องมือไซเบอร์สตรีทไฟที่สร้างขึ้นโดยรัฐชาติหนึ่งหรือสิ่งหนึ่งที่เรียกว่าเครื่องมือสกัดกั้นที่ถูกกฎหมายซึ่งขายโดยผู้รับเหมาเอกชนเพื่อบังคับใช้กฎหมายและ หน่วยข่าวกรองเอเยนซี่จำนวนมากเขากล่าวว่า

Kaspersky Lab ยังไม่มีข้อมูลเกี่ยวกับเป้าหมายของการโจมตีนี้หรือการกระจายทั่วโลก Raiu กล่าว

เข้าถึงทางอีเมลเมื่อวันพุธที่ FireEye เป็นผู้อำนวยการอาวุโสด้านความปลอดภัย การวิจัย Zheng Bu ปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับเป้าหมายของการโจมตี FireEye เผยแพร่โพสต์บล็อกด้วยข้อมูลทางเทคนิคเกี่ยวกับมัลแวร์ในวันพุธ แต่ไม่เปิดเผยข้อมูลใด ๆ เกี่ยวกับผู้ที่ตกเป็นเหยื่อ

Bu กล่าวว่ามัลแวร์ใช้เทคนิคบางอย่างในการตรวจจับว่ามีการใช้งานเครื่องเสมือนจริงเพื่อป้องกันการตรวจจับจากระบบวิเคราะห์มัลแวร์โดยอัตโนมัติ