Уязвимости Adobe Reader десятилетиями использовались злоумышленниками. Исследователь безопасности обнаружил, что брешь в Reader незаметно эксплуатировалась вредоносным ПО до четырех месяцев, собирая информацию о компьютерах для кражи данных. — csoonline.com
Уязвимости Adobe Reader десятилетиями использовались злоумышленниками, которые, пользуясь повсеместным применением этой утилиты, обманывали сотрудников, заставляя их загружать зараженные PDF-документы с помощью фишинговых приманок.
Теперь исследователь безопасности сообщил, что брешь в Reader незаметно эксплуатировалась вредоносным ПО на протяжении целых четырех месяцев, осуществляя сбор информации о компьютерах для последующей кражи данных и проведения других вредоносных действий.
На этой неделе в своем блоге Хайфэй Ли заявил, что EXPMON — общедоступный монитор эксплойтов, который он использует для сканирования образцов на предмет эксплойтов нулевого дня, основанных на файлах, — обнаружил первоначальный эксплойт, злоупотребляющий уязвимостью в API Reader.
Код JavaScript во вредоносном ПО, который автоматически выполняется при открытии зараженного PDF-файла, считывает файлы на скомпрометированном компьютере, собирая такую информацию, как настройки языка, номер версии Adobe Reader, точная версия ОС и локальный путь к PDF-файлу. Затем эти данные отправляются на удаленный сервер.
Эта информация будет полезна злоумышленнику, планирующему будущие атаки, включая установку инструментов удаленного доступа, отметил Ли.
Ли сообщил в своем отчете от 7 апреля, что протестировал вредоносное ПО на самой последней на тот момент версии Adobe Reader (26.00121367), и оно все еще работало.
В обновлении на следующий день Ли добавил, что другой исследователь обнаружил вариант, датируемый прошлым ноябрем, что позволяет предположить, что вредоносное ПО использовалось как минимум с того времени.
Adobe была запрошена для комментариев по поводу отчета, но к моменту публикации ответ получен не был.
Это не первый случай, когда Adobe Reader становится мишенью. Уязвимости, связанные с ним, известны как минимум с 2007 года, когда была обнаружена брешь в плагине для браузера. Поддельные обновления Reader — еще одна излюбленная тактика злоумышленников. Также распространены уязвимости типа use-after-free в памяти; исследователи из Zeropath описали одну из них, CVE-2025-54257, в прошлом году.
Традиционные тактики
Помимо установки исправлений сразу после их выпуска, руководителям служб информационной безопасности необходимо обеспечить регулярное обучение сотрудников основам безопасности, включая предупреждения об открытии неожиданных PDF-файлов, даже если они якобы получены от доверенных источников, таких как коллеги или руководители.
Злоумышленники традиционно используют различные тактики, чтобы заставить сотрудника открыть вложение в электронном письме, включая использование тем вроде «Срочно» и «Информация о бонусе». Самому вложению может быть присвоено имя, передающее важность; в данном случае ноябрьский вариант имел имя файла «Invoice504.pdf».
Согласно отчету об этом новом вредоносном ПО, загруженному на сайт сканирования вредоносных программ VirusTotal, куда любой желающий может загрузить подозрительные файлы для проверки, получателю предписывается открывать вложение именно с помощью Adobe Acrobat Reader.
Эксплойт высокого риска
Келман Мегу, технический директор канадской фирмы по реагированию на инциденты DeepCove Security, назвал этот эксплойт «очень рискованным».
Пока что похоже, что это конкретное вредоносное ПО только извлекает данные, сказал он. Но это подразумевает наличие возможности или потенциала для превращения его в средство для удаленного выполнения кода. «Это уязвимость нулевого клика [zero click]», — добавил Мегу, — «что означает, что, вероятно, достаточно простого просмотра в браузере или электронной почте, чтобы ее активировать».
Руководителям служб безопасности следует противостоять этой угрозе, отключив JavaScript в Acrobat, либо по умолчанию, либо до появления исправления, сказал он. «Но, честно говоря», — добавил он, — «я считаю, что выполнение JavaScript в Adobe Reader в целом плохая идея», поэтому его следует отключить.
Йоханнес Ульрих, декан по исследованиям в SANS Institute, отметил, что Adobe Acrobat и Reader часто становятся целями изощренных эксплойтов. Они часто используют такие функции, как JavaScript, или задействуют возможность включать или встраивать различные типы документов внутри PDF. Многие фильтры вредоносного ПО обнаруживают и помечают такие типы документов как вредоносные, сказал он.
«Руководители служб безопасности должны убедиться, что веб-прокси и шлюзы электронной почты имеют включенные фильтры, не пропускающие PDF-файлы, не полностью соответствующие стандартам, и устраняющие PDF-файлы, использующие известные проблемные функции, такие как JavaScript», — сказал он. «Любое подобное вложение также должно содержать явное указание на то, что оно получено из источника за пределами организации».
«К сожалению», — добавил он, — «PDF-файлы по-прежнему очень распространены, и их невозможно полностью исключить».
Адам Марре, CISO в Arctic Wolf, заявил, что особенную озабоченность в этой новой уязвимости вызывает то, что она активно эксплуатируется и, по-видимому, работает даже на полностью пропатченных системах. Это немедленно повышает профиль риска. «Даже без полной видимости всей цепочки атак, тот факт, что первоначальный доступ может быть получен через нечто столь же обыденное, как открытие PDF-файла, означает, что организации должны рассматривать это как реальное и текущее событие безопасности», — сказал он. «Отсюда потенциальное воздействие может варьироваться от ограниченного раскрытия данных до последующей активности, если злоумышленникам удастся доставить дополнительные полезные нагрузки».
Это становится вопросом управления рисками в режиме реального времени, указал он. «Когда доверенный инструмент внезапно выходит за пределы приемлемого порога риска организации, приоритет смещается на снижение воздействия и повышение видимости. Это может потребовать переоценки того, где это программное обеспечение действительно необходимо, ужесточения правил обработки недоверенного контента и обеспечения наличия мониторинга для быстрого обнаружения любого аномального поведения», — сказал он.
«Не менее важно то, что происходит после сдерживания», — добавил он. «Подобные инциденты — это возможность оценить, какие средства контроля выдержали, где возникли пробелы и как применить эти уроки на практике. Угрозы, связанные с повседневным поведением пользователей, никуда не денутся, поэтому устойчивость зависит от быстрого обучения и столь же быстрой адаптации».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon