Araştırmacılar: Sıfır-gün PDF istismar Adobe Reader 11, önceki sürümleri etkiler

Güvenlik firması FireEye'den araştırmacılar, saldırganların Adobe Reader'ın en son sürümlerine karşı çalışan bir uzaktan kod çalıştırma istismarını aktif olarak kullandıklarını iddia ediyorlar. 9, 10 ve 11.

“Bugün, vahşi ortamda bir PDF sıfır gününün [güvenlik açığı] kullanıldığını tespit ettik ve en son Adobe PDF Reader 9.5.3, 10.1.5 sürümünde başarılı bir kullanım olduğunu gözlemledik ve 11.0.1, ”FireEye araştırmacıları Salı günü geç saatlerde bir blog yazısında söyledi.

Kötüye kullanım, sistemdeki iki DLL dosyasını indirip yükler. Bir dosya sahte bir hata iletisi gösterir ve bir decoy olarak kullanılan bir PDF belgesi açar, FireEye araştırmacıları söyledi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Uzaktan kod çalıştırma istismarları düzenli olarak hedefe neden olur çökecek programlar. Bu bağlamda, sahte hata iletisi ve ikinci belge büyük olasılıkla kullanıcıların kazayı basit bir arıza sonucu olduğuna ve programın başarılı bir şekilde kurtarıldığına inanmaları için kandırmak için kullanılır.

Bu arada, ikinci DLL kötü amaçlı bir bileşen yükler. FireEye araştırmacıları, uzak bir alana geri döndüklerini belirtti.

PDF istismarının e-posta yoluyla veya Web üzerinden nasıl iletildiği açık değildir. FireEye, Çarşamba gününe gönderilen ek bilgi talebine derhal cevap vermedi.

FireEye araştırmacılarının blog yazısında dediği gibi, "Örneği Adobe güvenlik ekibine göndermiştik." “Adobe'den onay almamız ve bir azaltma planı hazır olmadan önce, bilinmeyen herhangi bir PDF dosyasını açmamanızı öneririz.”

Adobe Ürün Güvenliği Olayı Yanıt Ekibi (PSIRT), bir blog yayınında Salı günü yayınlandığını doğruladı. Adobe Reader ve Acrobat XI (11.0.1) ve önceki sürümlerde bir güvenlik açığının rapor edilmesi Ekip, müşterilerin riskinin değerlendirildiğini söyledi.

Çarşamba günü gönderilen bir güncelleme güncellemesine yanıt olarak, Adobe'nin kurumsal iletişimde üst düzey yöneticisi olan Heather Edell, şirketin hala araştırdığını söyledi.

Sandboxing Programın kodundaki geleneksel bir uzaktan kod yürütme güvenlik açığından yararlanıldıktan sonra bile saldırganların temel sistem üzerinde kötü amaçlı kod yazmasını ve çalıştırmasını önlemek için bir programın hassas işlemlerini sıkı bir şekilde kontrol edilen bir ortamda izole eden bir anti-sömürü tekniği.

Başarılı Korumalı bir programa karşı istismar, istismarın sanal alandan kaçmasına izin veren, dahil olmak üzere birden fazla güvenlik açığından yararlanmalıdır. Bu sanal alan baypas zafiyetleri nadirdir, çünkü gerçek sanal alanı uygulayan kod genellikle dikkatlice gözden geçirilir ve programın güvenlik açıklarını içerebilecek genel kod tabanına göre oldukça küçüktür.

Adobe, Korumalı adlı yazma işlemlerini izole etmek için bir sanal makine mekanizması ekledi. Adobe Reader'daki mod 10. Sandbox, Protected View adlı ikinci bir mekanizma aracılığıyla Adobe Reader 11'de salt okunur işlemleri de kapsayacak şekilde genişletildi.

Rus güvenlik şirketi Group-IB'den güvenlik araştırmacıları Kasım ayında geri döndü. Adobe Reader 10 ve 11 için bir istismar 30.000 ile 50.000 dolar arasında siber suçlu forumlarında satılıyordu. Sömürünün varlığı o zamanlar Adobe tarafından doğrulanmadı.

“Sandbox'ın tanıtılmasından önce, Adobe Reader, siber suçlular tarafından en çok hedeflenen üçüncü taraf uygulamalarından biriydi”, antivirüste üst düzey bir e-tehdit analisti olan Bogdan Botezatu. satıcı BitDefender, e-posta yoluyla Çarşamba dedi. “Eğer bu doğrulanırsa, kum havuzundaki bir deliğin bulunması hayati önemde olacaktır ve kesinlikle siber suçlular tarafından kitlesel olarak istismar edilecektir.”

Botezatu, Adobe Reader sanal alanını atlamanın zor bir görev olduğuna inanıyor, ancak bunun bir noktada gerçekleşmesini beklediğinden dolayı, Adobe Reader kurulumlarının sayısı, ürünü siber suçlular için çekici bir hedef haline getiriyor. “Ne kadar şirket testlere yatırım yapıyor olursa olsun, üretim makinelerinde kullanıldığında uygulamalarının hatasız olmadığından emin değiller” dedi.

Ne yazık ki Adobe Reader kullanıcılarının kendilerini korumak için birçok seçeneği yok. Botezatu, hangi dosyaların ve bağlantıların açıldığına aşırı dikkat etmenin dışında, aslında istismarın atlatıldığı sanal alan var. Kullanıcılar, bir yama kullanıma sunulduktan sonra kurulumlarını güncellemeliler, dedi.