Forskere: Nullagers PDF-utnyttelse påvirker Adobe Reader 11, tidligere versjoner

Forskere fra sikkerhetsfirma FireEye hevder at angripere aktivt bruker en ekstern kjøring av kode som fungerer mot de nyeste versjonene av Adobe Reader 9, 10 og 11.

"I dag identifiserte vi at en PDF-nulldag [sårbarhet] blir utnyttet i naturen, og vi observerte vellykket utnyttelse på den nyeste Adobe PDF Reader 9.5.3, 10.1.5 og 11.0.1, sa FireEye-forskerne sent på tirsdag i et blogginnlegg.

Utbyttet faller og laster to DLL-filer på systemet. Én fil viser en falsk feilmelding og åpner et PDF-dokument som brukes som en dekoder, sa FireEye-forskerne.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Utførelse av ekstern kjøring utnytter regelmessig at målrettede programmer for å krasje. I denne sammenhengen er den falske feilmeldingen og det andre dokumentet mest sannsynlig brukt til å lure brukere til å tro at krasjen var et resultat av en enkel feil og programmet ble gjenopprettet.

I mellomtiden installerer den andre DLL en skadelig komponent som ringer Tilbake til et eksternt domene, sa FireEye-forskerne.

Det er ikke klart hvordan PDF-utnytningen blir levert i utgangspunktet - via e-post eller over nettet - eller som var målene for angrepene som bruker det. FireEye reagerte ikke umiddelbart på en forespørsel om tilleggsinformasjon sendt onsdag.

"Vi har allerede sendt prøven til Adobe-sikkerhetslaget," sa FireEye-forskerne i blogginnlegget. "Før vi mottar bekreftelse fra Adobe og en reduksjonsplan er tilgjengelig, foreslår vi at du ikke åpner noen ukjente PDF-filer."

Adobe Product Security Incident Response Team (PSIRT) bekreftet tirsdag i et blogginnlegg at det undersøker en rapport om et sikkerhetsproblem i Adobe Reader og Acrobat XI (11.0.1), og tidligere versjoner utnyttes i det vanlige. Risikoen for kundene blir vurdert, sier teamet.

Som svar på en forespørsel om statusoppdatering sendt onsdag, sa Heather Edell, Adobes senioransvarlig for bedriftskommunikasjon, at selskapet fortsatt undersøker.

Sandboxing er en anti-utnyttingsteknikk som isolerer et programs følsomme operasjoner i et strengt kontrollert miljø for å hindre at angripere skriver og utfører ondsinnet kode på det underliggende systemet, selv etter å ha utnyttet et sårbarhetsproblem i tradisjonell ekstern kjøring av kode i programmets kode.

En vellykket utnytte et sandkassert program, må utnytte flere sårbarheter, inkludert en som gjør at utbyttet kan flykte fra sandkassen. Slike sandkasseomkoblingsproblemer er sjeldne, fordi koden som implementerer den faktiske sandkassen, blir vanligvis omhyggelig gjennomgått og er ganske liten i lengde i forhold til programmets samlede kodebase som kan inneholde sårbarheter.

Adobe la til en sandkasse-mekanisme for å isolere skriveoperasjoner kalt Protected Modus i Adobe Reader 10. Sandkassen ble utvidet til å dekke bare skrivebeskyttede operasjoner i Adobe Reader 11, gjennom en annen mekanisme kalt Beskyttet visning.

I november rapporterte sikkerhetsforskere fra russisk sikkerhetsfirma Group-IB at en utnytte for Adobe Reader 10 og 11 ble solgt på cybercriminal fora for mellom $ 30.000 og $ 50.000. Utnyttelsens eksistens ble ikke bekreftet av Adobe på det tidspunktet.

"Før introduksjonen av sandkassen var Adobe Reader en av de mest målrettede tredjepartsapplikasjoner av cyberkriminelle," sier Bogdan Botezatu, en senior e-trusselytiker på antivirus leverandør BitDefender, sa onsdag via e-post. "Hvis dette bekreftes, vil oppdagelsen av et hull i sandkassen være av avgjørende betydning og vil definitivt bli massivt utnyttet av cyberkriminelle."

Botezatu mener at omgåelse av Adobe Reader-sandkassen er en vanskelig oppgave, men han forventet at dette skal skje på et tidspunkt fordi det store antallet Adobe Reader-installasjoner gjør produktet til et attraktivt mål for cyberkriminelle. "Uansett hvor mange bedrifter som investerer i testing, kan de fortsatt ikke sikre at programmene deres er feilfri når de distribueres på produksjonsmaskiner," sa han.

Dessverre har Adobe Reader-brukere ikke mange muligheter til å beskytte seg selv hvis en Sandbox bypassing exploit eksisterer faktisk, bortsett fra å være ekstremt forsiktig med hvilke filer og lenker de åpner, sa Botezatu. Brukere bør oppdatere sine installasjoner så snart et lapp blir tilgjengelig, sa han.