Уязвимости в продуктах компании Adobe в последнее время являются, пожалуй, самой главной угрозой для пользователей. По числу заражений, происходящих из-за них, они, похоже, уже давно переплюнули любые уязвимости в операционной системе Windows и браузере Internet Explorer.
Очередная zero-day уязвимость была обнаружена вчера и сначала озадачила исследователей из антивирусных компаний. В «дикой природе» были перехвачены PDF-файлы, явно имевшие «китайский след».
Один из файлов имел название «Cao Chang-Ching The CPP made eight mistang Urumuqi incident_mm.pdf». События последних дней в китайском городе Урумчи, где происходили столкновения между местными жителями и полицией, были важной мировой новостью — и поэтому использование данной темы при распостранении вредоносных программ вполне понятно.
Файлы не содержали в себе уже традиционных вставок-эксплоитов на Java Script, как это было в предыдущих уязвимостях в PDF. Однако при запуске PDF-файла в системе появлялись два файла с именами temp.exe и suchost.exe: явно срабатывал какой-то эксплойт, и работал он даже на самой последней пропатченной версии Adobe Reader.
Более детальный анализ показал, что внутри PDF-файлов содержится вставленный SWF-объект — флеш-ролик. Флеш-ролики также являются продуктом компании Adobe, и для их просмотра используется Adobe Flash.
Обнаруженная уязвимость была именно в Adobe Flash Player версий 9 и 10, а не в Adobe Reader! Именно это и смутило поначалу исследователей, анализировавших PDF-файлы и их формат. Уязвимость использует «heap spray» и может работать как при открытии специально сконструированного PDF-файла, так и при посещении веб-сайтов.
Судя по некоторым косвенным признакам, мы можем констатировать, что данный вариант эксплойта был создан в начале июля (2 или 9 числа) и, вероятно, уже использовался в ряде точечных атак.
В проанализированных нами самплах в систему происходила установка двух вредоносных программ — Trojan.Win32.PowerPointer (модификации h и i) и очередного Trojan-Downloader.Win32.Agent (модификации cjll и cjoc).
Все они уже детектировались нашим антивирусом проактивно, при помощи эвристических технологий, как HEUR:Trojan.Generic.
Детектирование вредоносных PDF-файлов было добавлено вчера вечером, файлы детектируются под именами Exploit.SWF.Agent.br и .bs.
В настоящий момент компания Adobe официально подтверждает факт наличия 0-day уязвимости и сообщает о том, что исследует поступившие сообщения. Это означает, что уязвимость еще какое-то время (а прошлый опыт показывает, что это может занять и месяцы) будет оставаться непропатченной.
В этой связи мы настоятельно рекомендуем всем пользователям отключить использование Flash в Acrobat Reader и embedded objects в браузере.
В Adobe Reader для этого необходимо войти в пункт меню
Edit > Preferences Settings >Multimedia Trust -> Permission for Adobe Flash Player ->
и установить переключатель в «Never» или «Prompt».
SWF или PDF? Все одно — Adobe!