Adobe, sıfır günlü istismarın Adobe Reader sanal alanını atladığını onayladı

Adobe Reader 10 ve 11'deki korumalı alanda anti-exploitation korumasını atlayan yeni bir keşif son derece karmaşık ve muhtemelen önemli bir siberpresyon operasyonunun bir parçası. antivirüs satıcısı Kaspersky Lab'deki kötü amaçlı yazılım analiz ekibinin başı dedi.

Sömürge, güvenlik güçleri firması FireEye'den araştırmacılar tarafından aktif saldırılarda kullanıldığını söyleyen Salı günü keşfedildi. Adobe, istisnanın bir korumalı koruma mekanizmasına sahip olan 10 ve 11 dahil olmak üzere Adobe Reader ve Acrobat'ın en son sürümlerine karşı çalıştığını onayladı.

"Adobe, bu güvenlik açıklarının tasarlanan hedefli saldırılarda vahşi ortamda kötüye kullanıldığının haberlerinin farkında. Windows kullanıcılarının bir e-posta iletisinde teslim edilen kötü amaçlı bir PDF dosyasını tıklatmasını engellemek için, "şirket Çarşamba günü yayınlanan bir güvenlik danışma belgesinde yayınlandı.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Adobe çalışıyor bir yama üzerinde, ancak Adobe Reader 11 kullanıcılarının, Düzen> Tercihler> Güvenlik (Gelişmiş) menüsü altındaki "Potansiyel olarak güvenli olmayan konumlardan dosyalar" seçeneğini seçerek Korumalı Görünüm modunu etkinleştirmeleri önerilir.

Kaspersky Lab'in kötü amaçlı yazılım araştırma ve analiz ekibinin yöneticisi olan Costin Raiu'ya göre, kurduğu kötü amaçlı yazılımlar süper yüksek düzeydedir. "Her gün gördüğünüz bir şey değil," dedi Perşembe.

Saldırıların karmaşıklığıyla yargılanarak Raiu, "büyük önem" operasyonunun bir parçası olması gerektiği sonucuna vardılar. "

Duqu, 2011 yılının Ekim ayında keşfedilen, İran'ın Natanz nükleer santralindeki hasarlı uranyum zenginleştirme santrifüjleri ile desteklenen son derece sofistike bilgisayar solucanı Stuxnet ile ilgili bir dizi siberpresyon yazılımı. Hem Duqu hem Stuxnet'in bir ulus devlet tarafından yaratıldığına inanılıyor.

En son istismar bir PDF belgesi biçiminde geliyor ve Adobe Reader'da iki ayrı güvenlik açığına saldırıyor. Birisi, keyfi kod çalıştırma ayrıcalıklarını kazanmak için kullanılır ve biri Adobe Reader 10 ve 11 sanal alanından kurtulmak için kullanılır, dedi Raiu.

Windows 7'de, işletim sisteminin 64 bit sürümü de dahil olmak üzere, istismar çalışıyor. Raiu, Windows ASLR (adres alanı düzeni rastgeleleştirme) ve DEP (Veri Yürütme Engellemesi) anti-sömürü mekanizmalarını atlar.

Gerçekleştirildiğinde, istismar bir seyahat vizesi başvuru formu içeren sahte bir PDF belgesi açar. Bu belgenin adı "Visaform Turkey.pdf."

Ayrıca, kötüye kullanım, uzak bir sunucuya bağlanan ve iki ek bileşeni de karşıdan yükleyen bir kötü amaçlı yazılım indirici bileşeni de indiriyor ve çalıştırıyor. Bu iki bileşen şifreleri ve sistem konfigürasyonu hakkında bilgi çaldı ve tuş vuruşlarını kaydedebilir, dedi.

Kötü amaçlı yazılım ile komut ve kontrol sunucusu arasındaki iletişim zlib ile sıkıştırılır ve daha sonra AES (Gelişmiş Şifreleme Standardı) ile şifrelenir. RSA kamu-anahtar şifrelemesi kullanılarak.

Bu türden bir koruma kötü amaçlı yazılımlarda çok nadir görülür, Raiu. "Benzer bir şey, Flame cyberespionage zararlı yazılımında, ancak sunucu tarafında kullanıldı."

Bu, ya bir ulus devlet tarafından yaratılan bir siberpiyonaj aracı ya da özel yüklenicilerin yasa uygulayıcılarına sattığı yasal müdahale araçlarından biri. Büyük miktarlarda para için istihbarat teşkilatı dedi.

Kaspersky Lab, bu saldırının hedefleri ya da dünya çapında dağıtımı hakkında henüz bir bilgiye sahip değil, dedi.

FireEye'in kıdemli güvenlik direktörü Çarşamba günü e-posta ile ulaştı Araştırma, Zheng Bu, saldırının hedefleri hakkında yorum yapmaktan kaçındı. FireEye, Çarşamba günü kötü amaçlı yazılım hakkında teknik bilgiler içeren bir blog yayını yayınladı, ancak kurbanlarla ilgili herhangi bir bilgi vermedi.

Bu, kötü amaçlı yazılımın, sanal bir makinede yürütülüp yürütülmediğini algılamak için belirli teknikleri kullandığını ve bu nedenle, otomatik kötü amaçlı yazılım analiz sistemleri tarafından tespit edilmekten kurtulabileceğini söyledi.