Adobe bekrefter nulldagsutnyttelse omdirigerer Adobe Reader-sandkasse

En nylig funnet utnyttelse som omgår beskyttelsen mot utnyttelse av sandkasse i Adobe Reader 10 og 11, er svært sofistikert og er trolig en del av en viktig nettverksoperasjon, sa lederen av malwareanalyseteamet hos antivirusleverandøren Kaspersky Lab.

Utnyttelsen ble oppdaget tirsdag av forskere fra sikkerhetsfirma FireEye, som sa at den ble brukt i aktive angrep. Adobe bekreftet at utbyttet fungerer mot de nyeste versjonene av Adobe Reader og Acrobat, inkludert 10 og 11, som har en beskyttelsesmekanisme for sandkasse.

"Adobe er klar over rapporter om at disse sikkerhetsproblemene utnyttes i naturen i målrettede angrep designet å lure Windows-brukere til å klikke på en skadelig PDF-fil som er levert i en e-postmelding, sier firmaet i en sikkerhetsrådgivende publisert onsdag.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Adobe jobber på en oppdatering, men i mellomtiden anbefales det at brukere av Adobe Reader 11 aktiverer Beskyttet visning-modus ved å velge alternativet "Filer fra potensielt usikre steder" under Rediger> Innstillinger> Sikkerhet (forbedret) -menyen.

Utnytte og malware den installerer er super høyt nivå, ifølge Costin Raiu, direktør for Kaspersky Labs malwareforsknings- og analyseteam. "Det er ikke noe du ser hver dag," sa han torsdag.

Raiu dømte etter raffinement av angrepene, og konkluderte med at de må være en del av en operasjon av "stor betydning" som "ville være på samme nivå med Duqu. "

Duqu er et stykke virusproblemer som ble oppdaget i oktober 2011, og som er relatert til Stuxnet, den svært sofistikerte datormasken som er kreditert for skadelige uranberikningscentrifuger ved Irans atomkraftverk i Natanz. Både Duqu og Stuxnet antas å være opprettet av en nasjonalstat.

Den nyeste utnyttelsen kommer i form av et PDF-dokument og angriper to separate sårbarheter i Adobe Reader. En er vant til å få vilkårlige kodeutførelsesrettigheter, og en er vant til å rømme fra Adobe Reader 10 og 11 sandkassen, sa Raiu.

Utnyttelsen fungerer på Windows 7, inkludert 64-biters versjon av operativsystemet, og det Omgåer Windows ASLR (Address Space Layout Randomization) og DEP (Data Execution Prevention) anti-utnyttelsesmekanismer.

Når den utføres, åpner exploit et decoy PDF-dokument som inneholder et reisevisum søknadsskjema, sa Raiu. Navnet på dette dokumentet er "Visaform Turkey.pdf."

Utbyttet faller og utfører også en malware-nedlastingskomponent som kobles til en ekstern server og laster ned to ekstra komponenter. Disse to komponentene stjeler passord og informasjon om systemkonfigurasjonen, og kan logge tastetrykk, sa han.

Kommunikasjonen mellom malware og kommando- og kontrollserveren komprimeres med zlib og krypteres deretter med AES (Advanced Encryption Standard) ved hjelp av RSA public key-kryptering.

Denne typen beskyttelse er svært sjelden sett i malware, sa Raiu. "Noe lignende ble brukt i Flame cyberespionage malware, men på server siden."

Dette er enten et verktøy for cyberspionage opprettet av en nasjonalstat eller et av de såkalte lovlige avlytingsverktøyene som selges av private entreprenører til rettshåndhevelse og intelligensbyråer for store pengesummer, sa han.

Kaspersky Lab har ennå ikke informasjon om dette angrepets mål eller distribusjon rundt om i verden, sier Raiu.

FireEye sjefsjef forskning, Zheng Bu, nektet å kommentere angrepets mål. FireEye publiserte et blogginnlegg med teknisk informasjon om malware på onsdag, men avslørte ikke noe om ofre.

Bu sa at malware bruker bestemte teknikker for å oppdage om den blir utført i en virtuell maskin, slik at den kan unngå registrering av automatiserte malwareanalysesystemer.