Злоумышленники как минимум с декабря используют уязвимость нулевого дня в Adobe Reader посредством вредоносных PDF-документов. Атаки обнаружены исследователем Хайфэем Ли и нацелены на кражу данных с использованием API Acrobat. — bleepingcomputer.com
Злоумышленники как минимум с декабря используют уязвимость нулевого дня в Adobe Reader посредством вредоносных PDF-документов.
Атаки были обнаружены исследователем безопасности Хайфэем Ли (основателем платформы EXPMON для обнаружения эксплойтов на основе «песочницы»), который во вторник предупредил, что атакующие используют то, что он охарактеризовал как «высокотехнологичный эксплойт PDF в стиле фингерпринтинга», нацеленный на неустановленную уязвимость безопасности в Adobe Reader.
Ли также сообщил, что эти атаки ведутся на пользователей Adobe по меньшей мере 4 месяца, в ходе которых похищаются данные из скомпрометированных систем с использованием привилегированных API util.readFileIntoStream и RSS.addFeed Acrobat, а также развертываются дополнительные эксплойты.
«Подтверждено, что этот эксплойт с “фингерпринтингом” использует уязвимость нулевого дня/незакрытую уязвимость, которая работает в последней версии Adobe Reader без какого-либо взаимодействия с пользователем, кроме открытия PDF-файла», — предупредил Ли.
«Что еще более тревожно, этот эксплойт позволяет злоумышленнику не только собирать/похищать локальную информацию, но и потенциально запускать последующие атаки RCE/SBX, что может привести к полному контролю над системой жертвы».
Хайфэй Ли раскрыл длинный список уязвимостей безопасности в программном обеспечении Microsoft, Google и Adobe, многие из которыхбыли использованы в атаках с использованием уязвимостей нулевого дня.
Фишинговые приманки на русском языке
Аналитик по разведке угроз Gi7w0rm, который также анализировал этот эксплойт Adobe Reader, обнаружил, что PDF-документы, распространяемые в этих атаках, содержат приманки на русском языке со ссылками на текущие события в российской нефтегазовой отрасли.
Ли уведомил Adobe об этих находках и до тех пор, пока компания не выпустит обновления безопасности для устранения этой активно эксплуатируемой уязвимости, посоветовал пользователям Adobe Reader не открывать PDF-документы, полученные от недоверенных контактов, до выхода исправления.
Сетевые защитники также могут смягчить последствия атак, использующих эту уязвимость нулевого дня, путем мониторинга и блокировки HTTP/HTTPS-трафика, содержащего строку «Adobe Synchronizer» в заголовке User-Agent.
«Эта возможность нулевого дня/незакрытая функция для широкого сбора информации и потенциал для последующей эксплуатации RCE/SBX достаточны для того, чтобы сообщество безопасности сохраняло высокую бдительность. Именно поэтому мы решили опубликовать эти результаты немедленно, чтобы пользователи могли оставаться бдительными», — добавил он.
BleepingComputer также обратился к Adobe с вопросами о находках Ли, но немедленный ответ получен не был.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan