الباحثون: استغلال PDF يوم صفر يؤثر على Adobe Reader 11 ، الإصدارات السابقة

يدعي باحثون من شركة FireEye الأمنية أن المهاجمين يستخدمون بنشاط استغلال تنفيذ التعليمات البرمجية عن بعد يعمل ضد أحدث إصدارات Adobe Reader 9 و 10 و 11

"اليوم ، حددنا أنه يجري استغلال [PDF] يوم صفر PDF [الضعف] في البرية ، ولاحظنا الاستغلال الناجح على أحدث إصدار من Adobe PDF Reader 9.5.3 و 10.1.5 و 11.0.1 ، وقال الباحثون في فايناي في وقت متأخر يوم الثلاثاء في آخر بلوق.

استغلال قطرات ويحمل ملفين DLL على النظام. يعرض أحد الملفات رسالة خطأ مزيفة ويفتح وثيقة PDF تستخدم كطعم ، حسبما قال الباحثون في FireEye.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

يؤدي تنفيذ تعليمات برمجية عن بُعد بشكل منتظم إلى برامج لتحطم. في هذا السياق ، من المرجح أن تستخدم رسالة الخطأ المزورة والوثيقة الثانية لخداع المستخدمين للاعتقاد بأن الحادث كان نتيجة عطل بسيط وتم استرداد البرنامج بنجاح.

وفي الوقت نفسه ، تقوم DLL الثانية بتثبيت مكون ضار يستدعي العودة إلى مجال بعيد ، وقال الباحثون FireEye.

ليس من الواضح كيف يتم تسليم استغلال PDF في المقام الأول عبر البريد الإلكتروني أو عبر شبكة الإنترنت أو الذين كانوا هدفا للهجمات التي تستخدمها. لم يرد FireEye على الفور على طلب للحصول على معلومات إضافية تم إرسالها يوم الأربعاء.

لقد أرسلنا العينة بالفعل إلى فريق أمان Adobe ، قال الباحثون في FireEye في مشاركة المدونة. "قبل الحصول على تأكيد من Adobe وخطة التخفيف متاحة ، نقترح عدم فتح أي ملفات PDF غير معروفة."

أكد فريق الاستجابة لحوادث أمان منتج Adobe (PSIRT) الثلاثاء في مشاركة مدونة أنه يحقق في تقرير عن وجود ثغرة في Adobe Reader و Acrobat XI (11.0.1) والإصدارات الأقدم يتم استغلالها في البرية. وقال الفريق إنه يجري تقييم المخاطر على العملاء.

رداً على طلب تحديث الحالة الذي تم إرساله يوم الأربعاء ، قالت هيذر إديل ، كبيرة مديري اتصالات الشركة ، إن الشركة لا تزال تحقق في الأمر.

وضع الحماية تقنية مكافحة الاستغلال التي تعزل العمليات الحساسة للبرنامج في بيئة تخضع لرقابة صارمة من أجل منع المهاجمين من كتابة وتنفيذ تعليمات برمجية ضارة على النظام الأساسي حتى بعد استغلال ثغرة تنفيذ التعليمات البرمجية عن بعد التقليدية في رمز البرنامج.

ناجح فإن الاستغلال ضد برنامج sandboxed يجب أن يستفيد من نقاط الضعف المتعددة ، بما في ذلك الضعف الذي يسمح للهروب من الهرب من صندوق الرمل. تُعد نقاط الضعف هذه التي يتم تجاوزها في sandbox أمرًا نادرًا ، نظرًا لأن التعليمة البرمجية التي تعمد إلى وضع الحماية الفعلي تتم مراجعتها بعناية ويكون طولها صغيرًا نسبيًا مقارنةً بأساس البرنامج الإجمالي الذي قد يحتوي على ثغرات أمنية.

أضافت Adobe آلية وضع الحماية لعزل عمليات الكتابة باسم Protected الوضع في Adobe Reader 10. تم توسيع sandbox ليشمل عمليات القراءة فقط في Adobe Reader 11 ، من خلال آلية ثانية تسمى Protected View.

في نوفمبر ، ذكر باحثون أمنيون من شركة الأمن الروسية Group-IB أن تم بيع أداة استغلال لـ Adobe Reader 10 و 11 في منتديات مجرمي الإنترنت بمبلغ يتراوح بين 30،000 و 50،000 دولار. لم يتم تأكيد وجود المستغل من قبل Adobe في ذلك الوقت.

"قبل إدخال sandbox ، كان Adobe Reader أحد أكثر تطبيقات الطرف الثالث المستهدفة من قبل المجرمين الإلكترونيين" ، بوجدان Botezatu ، كبير محللي التهديد الإلكتروني في مكافحة الفيروسات وقال بائع BitDefender ، الأربعاء عبر البريد الإلكتروني. "إذا تم تأكيد ذلك ، فإن اكتشاف وجود ثقب في صندوق الرمل سيكون ذا أهمية حاسمة وسيصبح بالتأكيد مستغلا بشكل كبير من قبل المجرمين الإلكترونيين."

يعتقد Botezatu أن تجاوز sandbox Adobe Reader مهمة صعبة ، لكنه توقع أن يحدث هذا في مرحلة ما لأن العدد الكبير من عمليات تثبيت Adobe Reader يجعل المنتج هدفاً جذاباً للمجرمين السيبرانيين. وقال: "بغض النظر عن مدى استثمار الشركات في الاختبار ، فإنها لا تزال غير قادرة على ضمان خلو تطبيقاتها من الأخطاء عند نشرها على آلات الإنتاج."

للأسف ، لا يتوفر لدى مستخدمي Adobe Reader العديد من الخيارات لحماية أنفسهم إذا وقال بوتساتو: "في الواقع ، هناك تجاوز لبيئة الاستغلال ، باستثناء كونها حذرة للغاية من الملفات والوصلات التي تفتحها". وقال إنه يتعين على المستخدمين تحديث منشآتهم بمجرد توفر التصحيح