Adobe يؤكد عدم استغلال يوم الصفر يتجاوز برنامج Adobe Reader sandbox

تم اكتشاف هذا الاستغلال الثلاثاء من قبل الباحثين من شركة الأمن FireEye ، الذي قال أنه كان يستخدم في هجمات نشطة. أكدت Adobe أن استغلالها يعمل ضد أحدث إصدارات Adobe Reader و Acrobat ، بما في ذلك 10 و 11 ، والتي لديها آلية حماية رمل.

"Adobe يدرك التقارير التي تستغل هذه الثغرات في البرية في الهجمات المستهدفة خداع مستخدمي Windows للنقر على ملف PDF ضار يتم تسليمه في رسالة بريد إلكتروني ، "قالت الشركة في تقرير أمني نشر الأربعاء.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

تعمل Adobe على التصحيح ، ولكن في الوقت نفسه ، يُنصح مستخدمو Adobe Reader 11 بتمكين وضع Protected View عن طريق اختيار خيار "الملفات من المواقع غير الآمنة" ضمن القائمة Edit> Preferences> Security (Enhanced).

The exploit and أما البرامج الضارة التي تقوم بتثبيتها فهي فائقة المستوى ، وفقاً لكوستين رايو ، مدير فريق البحث والتحليل الخاص بالبرامج الضارة في شركة كاسبرسكي لاب. وقال يوم الخميس: "إنه ليس شيئاً تراه كل يوم".

<>>>>> Jud Jud Jud Jud Jud Jud Jud he Rai Jud he Rai he Rai he Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai Rai "

Duqu هو قطعة من البرمجيات الخبيثة السيبرانية التي تم اكتشافها في أكتوبر 2011 والتي تتعلق بـ Stuxnet ، وهي عبارة عن دودة كمبيوتر متطورة للغاية تمت الإشارة إليها في أجهزة تخصيب اليورانيوم المخصبة في محطة إيران النووية في ناتانز. ويعتقد أن كل من Duqu و Stuxnet قد تم إنشاؤهما من قبل دولة قومية.

تأتي آخر عمليات الاستغلال في شكل وثيقة PDF وتهاجم نقطتي ضعف منفصلتين في Adobe Reader. واحد يستخدم للحصول على امتيازات تنفيذ التعليمات البرمجية العشوائية ويستخدم واحد للهروب من رمل أدوبي ريدر 10 و 11 ، وقال رايو.

ويعمل استغلال على ويندوز 7 ، بما في ذلك الإصدار 64 بت من نظام التشغيل ، وذلك يتجاوز Windows ASLR (عشوائية تخطيط مساحة العنوان) وآليات مكافحة الاستغلال DEP (منع تنفيذ البيانات).

عند التنفيذ ، فتح استغلال فتح شرك وثيقة PDF التي تحتوي على استمارة طلب تأشيرة سفر ، وقال Raiu. اسم هذا المستند هو "Visaform Turkey.pdf."

يسقط الاستغلال أيضًا ويُنفذ مكون تنزيل برامج ضارة يتصل بخادم بعيد ويقوم بتنزيل مكونين إضافيين. وقال إن هذين العنصرين يسرقان كلمات المرور ومعلومات عن تكوين النظام ، ويمكنهما تسجيل ضربات المفاتيح.

يتم ضغط الاتصال بين البرامج الضارة وخادم الأوامر والتحكم باستخدام zlib ثم يتم تشفيرها باستخدام AES (معيار التشفير المتقدم) باستخدام تشفير المفتاح العمومي لـ RSA.

هذا النوع من الحماية نادرًا ما يُشاهد في البرامج الضارة ، على حد قول Raiu. "تم استخدام شيء مماثل في البرامج الضارة Flame cyberespionage ، ولكن على جانب الخادم."

هي إما أداة للامتداد عبر الإنترنت تم إنشاؤها بواسطة دولة قومية أو أحد ما يسمى بأدوات اعتراض قانونية تم بيعها من قِبل مقاولين خاصين لإنفاذ القانون و وقال <كا> أن شركة كاسبرسكي لاب لا تملك حتى الآن معلومات حول أهداف هذا الهجوم أو توزيعها حول العالم.

> تم الوصول إليه عبر البريد الإلكتروني يوم الأربعاء ، مدير أمن FireEye البحوث ، ورفض تشنغ بو ، للتعليق على أهداف الهجوم. نشرت FireEye مشاركة مدونة تحتوي على معلومات فنية حول البرامج الضارة يوم الأربعاء ، ولكنها لم تكشف عن أي معلومات عن الضحايا.

قال بو أن البرمجيات الخبيثة تستخدم تقنيات معينة لاكتشاف ما إذا كان يتم تنفيذها في جهاز افتراضي حتى تتمكن من تجنب الكشف عن طريق أنظمة تحليل البرمجيات الخبيثة الآلية.