Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Adobe po raz kolejny

Jewgienij Asiejew
Kaspersky Lab Expert
Dodany 16 marca 2010, 09:48 CET

Luki w najpopularniejszych produktach Adobe - Acrobat i Reader - nadal są wykrywane i skutecznie wykorzystywane.

Kilka dni temu otrzymaliśmy interesujący plik PDF (wykrywany jako Exploit.JS.Pdfka.bui), który zawierał exploita dla luki CVE-2010-0188, która pierwotnie została wykryta w lutym w programie Acrobat/Reader w wersji 9.3 i wcześniejszych.

Pierwszą rzeczą, jaka rzuca się w oczy, jest celowo zniekształcony obraz TIFF wewnątrz pliku PDF.

Luka ta – przepełnienie bufora – daje o sobie znać po uzyskaniu dostępu do pola zawierającego obraz. Podczas ataku wykorzystywana jest technika zwana “heap spraying” – powszechnie wykorzystywana przez wiele exploitów w stosunku do produktów zdolnych do uruchomienia kodu JavaScript. Dobrym przykładem użycia tej techniki jest niedawny atak Aurora.

Jeżeli luka, o której wspomnieliśmy wcześniej, zostanie skutecznie wykorzystana, adres zwrotny zostanie nadpisany predefiniowanym adresem 0xC0C0C0C0. Właśnie tam zlokalizowany jest kod kontrolowany przez cyberprzestępców.

Następnie, skacze do adresu zawierającego shellcode, który początkowo deszyfruje swoje ciało, a następnie plik wykonywalny, który jest również osadzony w oryginalnym pliku PDF.

Odszyfrowany plik wykonywalny (wykrywany jako Backdoor.Win32.Agent.aqoj) jest zapisywany do foldera głównego dysku C: i uruchamiany. Jego celem jest wysyłanie danych o komputerze ofiary do zdalnego serwera i pobieranie innych szkodliwych plików do zainfekowanej maszyny.

Adobe dość szybko opublikował aktualizację dla produktów zawierających lukę. Jednak nie zniechęci do cyberprzestępców, ponieważ, jak pokazuje doświadczenie, użytkownicy nie spieszą się z aktualizowaniem swoich maszyn, w przeciwieństwie do cyberprzestępców, którzy nie tracą czasu i natychmiast wykorzystują luki. W celu uniknięcia tej i podobnych infekcji, zalecamy zainstalowanie najnowszych aktualizacji dla programu Acrobat i Reader.