Исследование

И снова многострадальный Adobe

В наиболее распространенных продуктах компании Adobe — Acrobat/Reader — заинтересованные лица продолжают находить уязвимости и успешно их использовать.

Так, несколько дней назад к нам в Лабораторию попал интересный PDF-файл (детектируется как Exploit.JS.Pdfka.bui), в котором содержалось эксплуатирование обнаруженной в феврале уязвимости CVE-2010-0188 в Acrobat/Reader версии 9.3 и ниже.

В первую очередь в глаза бросается заведомо неправильно сформированное TIFF-изображение, которое находится внутри исходного PDF-файла.

Уязвимость — переполнение буфера — проявляется при обращении к полю, содержащему это изображение. Сама же атака осуществляется с помощью техники heap spraying, которая активно используется во многих эксплойтах к продуктам, которые могут обрабатывать JavaScript-код. К примеру, последняя громкая атака Aurora, была проведена с применением именно этой техники.

При удачном использовании вышеописанной уязвимости, адрес возврата перезаписывается заранее известным адресом 0xC0C0C0C0, по которому находится контролируемый злоумышленниками код.

После этого осуществляется переход на этот адрес, по которому располагается шеллкод. Он расшифровывает сначала свое тело, а затем исполняемый файл, который также находится внутри исходного PDF-файла.

Расшифрованный исполняемый файл (детектируется как Backdoor.Win32.Agent.aqoj) записывается в корень диска C: и запускается. Среди его функционала — загрузка данных о компьютере пользователя на удаленный сервер, а также загрузка на зараженный компьютер других вредоносных файлов.

Обновление для уязвимых продуктов было оперативно выпущено работниками Adobe. Однако злоумышленники будут использовать эту уязвимость (как, впрочем, и давно известные), пока все пользователи не будут защищены, поэтому во избежание подобного и других заражений рекомендуется установить последние обновления для Acrobat /Reader.

И снова многострадальный Adobe

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике