Вчера компания Adobe выпустила информационный бюллетень о ранее неизвестной уязвимости в программах Adobe Reader и Acrobat. В настоящее время эта уязвимость активно используется киберпреступниками.
Эксплойт достаточно простой. Интересно в нем то, что он использует технику ROP (Return Oriented Programming — возвратно-ориентированное программирование) для обхода систем безопасности ASLR и DEP, встроенных в операционные системы Windows Vista и Windows 7.
Более широкое применение ROP для эксплойтов — это то, чего я жду уже достаточно давно. Почему? Потому что Windows 7 получает все большее распространение как среди отдельных пользователей, так и среди организаций.
Как правило, большинство вредоносных PDF-файлов загружают вредоносный код через интернет, однако в этом случае PDF-файл уже содержит вредоносный контент. PDF распаковывает исполняемый файл в директорию %temp% и пытается его исполнить.
Этот файл имеет действующую цифровую подпись, принадлежащую одному из американских кредитных союзов!
Посмотрите внимательно на скриншоты, и вы увидите, что сертификат не просто действующий, он на самом деле принадлежит кредитному союзу Vantage. Это значит, что злоумышленники каким-то образом смогли заполучить сертификат этой организации. Вам это ничего не напоминает? Если вы вспомнили о троянце Stuxnet (который подписывал файлы ворованными сертификатами Realtek и JMicron), то мы с вами думаем об одном и том же.
Интересно будет посмотреть, зародил ли Stuxnet новую тенденцию или эти случаи — просто удачное совпадение. Все же вряд ли тут совпадение. Я думаю, подписывание вредоносных программ ворованными действующими сертификатами получит распространение в 2011 году.
И Verisign, и Кредитный союз Vantage проинформированы о сложившейся ситуации и должны будут принять адекватные меры.
Неизвестная уязвимость в Adobe Reader: теперь с украденным сертификатом