นักวิจัย: การใช้ PDF เป็นเวลา 0 วันมีผลต่อ Adobe Reader 11, รุ่นก่อนหน้า

นักวิจัยจาก บริษัท รักษาความปลอดภัย FireEye อ้างว่าผู้บุกรุกกำลังใช้รหัสจากระยะไกลเพื่อใช้ประโยชน์จากเวอร์ชันล่าสุดของ Adobe Reader 9, 10 และ 11

"วันนี้เราระบุว่าไฟล์ PDF zero-day [ช่องโหว่] ถูกใช้ประโยชน์โดยไม่ได้รับอนุญาตและพบว่าการใช้ประโยชน์จาก Adobe PDF Reader 9.5.3, 10.1.5 และ 11.0.1 "นักวิจัย FireEye กล่าวเมื่อวันอังคารในโพสต์บล็อก

การใช้ประโยชน์จะลดลงและโหลดไฟล์ DLL สองไฟล์ในระบบ ไฟล์หนึ่งไฟล์จะแสดงข้อความแสดงข้อผิดพลาดปลอมและเปิดเอกสาร PDF ที่ใช้เป็นเครื่องล่อนักวิจัยของ FireEye กล่าวว่า

<อ่านต่อ: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows>

การเรียกใช้โค้ดจากระยะไกลทำให้เกิดการกำหนดเป้าหมายเป็นประจำ โปรแกรมล้มเหลว ในบริบทนี้ข้อความผิดพลาดปลอมและเอกสารฉบับที่สองมักถูกใช้เพื่อหลอกล่อให้ผู้ใช้เชื่อว่าเหตุการณ์ดังกล่าวเป็นผลมาจากการทำงานที่ผิดปกติและโปรแกรมกู้คืนได้สำเร็จ

ขณะเดียวกัน DLL ที่สองติดตั้งคอมโพเนนต์ที่เป็นอันตรายซึ่งเรียก กลับไปยังโดเมนระยะไกลนักวิจัยของ FireEye กล่าวว่า

ไม่ชัดเจนว่าการส่งไฟล์ PDF ไปใช้ประโยชน์ได้อย่างไรในตอนแรก - ผ่านทางอีเมล์หรือผ่านทางเว็บ - หรือใครเป็นเป้าหมายของการโจมตีโดยใช้มัน "เราได้ส่งตัวอย่างไปยังทีมรักษาความปลอดภัยของ Adobe แล้ว" นักวิจัย FireEye กล่าวในบล็อกโพสต์ "ก่อนที่เราจะได้รับการยืนยันจาก Adobe และมีแผนบรรเทาผลกระทบเราขอแนะนำให้คุณไม่เปิดไฟล์ PDF ที่ไม่รู้จัก"

ทีมงานตอบสนองเหตุการณ์ความปลอดภัยด้านผลิตภัณฑ์ของ Adobe (PSIRT) ได้ยืนยันเมื่อวันอังคารในโพสต์บล็อกว่ากำลังตรวจสอบ รายงานช่องโหว่ใน Adobe Reader และ Acrobat XI (11.0.1) และเวอร์ชันก่อนหน้านี้ที่กำลังใช้ประโยชน์ได้ในป่า ความเสี่ยงต่อลูกค้าจะได้รับการประเมินโดยทีมงานกล่าวว่า

ในการตอบสนองต่อคำขออัพเดทสถานะที่ส่งไปในวันพุธ Heather Edell ผู้จัดการอาวุโสด้านการสื่อสารองค์กรของ Adobe กล่าวว่า บริษัท กำลังตรวจสอบอยู่

Sandboxing คือ เทคนิคการป้องกันการเอารัดเอาเปรียบที่แยกการทำงานที่สำคัญของโปรแกรมในสภาพแวดล้อมที่มีการควบคุมอย่างเข้มงวดเพื่อป้องกันไม่ให้ผู้โจมตีเขียนและรันโค้ดที่เป็นอันตรายในระบบต้นแบบแม้จะใช้ประโยชน์จากช่องโหว่ในการประมวลผลโค้ดจากระยะไกลในโค้ดของโปรแกรมแล้วก็ตาม

การใช้ประโยชน์จากโปรแกรม sandboxed จะต้องใช้ประโยชน์จากช่องโหว่หลายช่องทางรวมถึงช่องโหว่ที่ช่วยให้สามารถใช้ประโยชน์จากช่องโหว่ได้ ช่องโหว่แบบ sandbox ดังกล่าวเป็นเรื่องยากเนื่องจากโค้ดที่ใช้ sandbox จริงจะได้รับการตรวจสอบและมีขนาดค่อนข้างเล็กเมื่อเทียบกับ codebase โดยรวมของโปรแกรมซึ่งอาจมีช่องโหว่

Adobe เพิ่มกลไก sandbox เพื่อแยกการเขียนที่เรียกว่า Protected Mode ใน Adobe Reader 10. Sandbox ถูกขยายเพิ่มเติมเพื่อให้ครอบคลุมการทำงานแบบอ่านอย่างเดียวเช่นกันใน Adobe Reader 11 โดยใช้กลไกที่สองที่เรียกว่า Protected View

ย้อนกลับไปในเดือนพฤศจิกายนนักวิจัยด้านความปลอดภัยจาก บริษัท รักษาความปลอดภัยรัสเซีย -IB Group รายงานว่า การใช้ประโยชน์จาก Adobe Reader 10 และ 11 ถูกขายบนฟอรัมด้านอาชญากรรมในไซเบอร์ระหว่าง 30,000 ถึง 50,000 ดอลลาร์ Bogdan Botezatu นักวิเคราะห์อาวุโสด้าน e-threat ของแอนตี้ไวรัสกล่าวว่า "ก่อนการเปิดตัว Sandbox Adobe Reader เป็นแอพพลิเคชั่นของบุคคลที่สามที่มีการกำหนดเป้าหมายมากที่สุดโดยอาชญากรไซเบอร์ BitDefender กล่าวเมื่อวันพุธที่ผ่านทางอีเมล์ "ถ้าได้รับการยืนยันการค้นพบช่องโหว่ใน sandbox จะมีความสำคัญอย่างยิ่งและจะถูกใช้โดยอาชญาอาชญากรไซเบอร์อย่างจริงจัง"

Botezatu เชื่อว่าการหลีกเลี่ยง sandbox ของ Adobe Reader เป็นเรื่องยาก แต่เขาคาดหวังว่าจะเกิดขึ้นได้ในบางจุดเนื่องจากการติดตั้ง Adobe Reader จำนวนมากทำให้ผลิตภัณฑ์เป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์ "ไม่ว่า บริษัท จะลงทุนในการทดสอบมากแค่ไหน แต่ก็ยังไม่สามารถมั่นใจได้ว่าแอพพลิเคชั่นของพวกเขาจะปราศจากข้อผิดพลาดเมื่อใช้งานในเครื่องผลิต" เขากล่าว "

ผู้ใช้ Adobe Reader ไม่ได้มีทางเลือกมากมายในการป้องกันตนเอง sandbox bypassing exploit มีอยู่จริงยกเว้นการระมัดระวังอย่างมากเกี่ยวกับไฟล์และลิงก์ที่เปิดอยู่ Botezatu กล่าว ผู้ใช้ควรปรับปรุงการติดตั้งของตนโดยเร็วที่สุดเท่าที่แพทช์จะพร้อมใช้งานเขากล่าวว่า