Extracting a Windows Zero-Day from an Adobe Reader Zero-Day PDF
Een recent gevonden exploit die de bescherming tegen misbruik van sandbox in Adobe Reader 10 en 11 omzeilt, is zeer geavanceerd en maakt waarschijnlijk deel uit van een belangrijke cyber-spionage-operatie, kopt het hoofd van het malware-analyseteam van antivirus-leverancier Kaspersky Lab.
De exploit werd dinsdag ontdekt door onderzoekers van beveiligingsbedrijf FireEye, die zeiden dat het werd gebruikt bij actieve aanvallen. Adobe heeft bevestigd dat de exploit werkt tegen de nieuwste versies van Adobe Reader en Acrobat, waaronder 10 en 11, die een sandbox-beveiligingsmechanisme hebben.
"Adobe is op de hoogte van meldingen dat deze kwetsbaarheden in het wild worden misbruikt in gerichte aanvallen die zijn ontworpen om Windows-gebruikers te misleiden door te klikken op een kwaadaardig pdf-bestand in een e-mailbericht, "zei het bedrijf in een beveiligingsadvies dat woensdag is gepubliceerd.
[Lees meer: Hoe malware van uw Windows-pc te verwijderen]Adobe werkt op een patch, maar in de tussentijd worden gebruikers van Adobe Reader 11 geadviseerd om de modus Protected View in te schakelen door de optie "Bestanden van mogelijk onveilige locaties" te kiezen in het menu Bewerken> Voorkeuren> Beveiliging (verbeterd).
De exploit en de malware die het installeert is van het hoogste niveau, volgens Costin Raiu, directeur van het malwareonderzoeks- en analyseteam van Kaspersky Lab. "Het is niet iets dat je elke dag ziet," zei hij donderdag.
Afgaande op de verfijning van de aanvallen, concludeerde Raiu dat ze deel moesten uitmaken van een operatie van "enorm belang" die "op hetzelfde niveau zou zijn met Duqu. "Duqu is een stukje malware tegen cyberespionage dat werd ontdekt in oktober 2011 en verband houdt met Stuxnet, de zeer geavanceerde computerworm gecrediteerd met schadelijke uraniumverrijkingscentrifuges in Irans kerncentrale in Natanz. Zowel Duqu als Stuxnet worden verondersteld te zijn gemaakt door een nationale staat.
De nieuwste exploit komt in de vorm van een PDF-document en valt twee afzonderlijke kwetsbaarheden in Adobe Reader aan. Eén wordt gebruikt om willekeurige code-uitvoering te verkrijgen en een wordt gebruikt om te ontsnappen uit de Adobe Reader 10 en 11 sandbox, zei Raiu.
De exploit werkt op Windows 7, inclusief de 64-bits versie van het besturingssysteem, en het omzeilt de Windows ASLR (randomisatie van de indeling van adresruimten) en DEP (Data Execution Prevention) anti-exploitatiemechanismen.
Wanneer uitgevoerd, opent de exploit een lokaas PDF-document dat een aanvraagformulier voor een reisvisum bevat, zei Raiu. De naam van dit document is "Visaform Turkey.pdf."
De exploit daalt ook en voert een component voor malware-downloader uit die verbinding maakt met een externe server en twee extra componenten downloadt. Deze twee componenten stelen wachtwoorden en informatie over de systeemconfiguratie en kunnen toetsaanslagen registreren, zei hij.
De communicatie tussen de malware en de command-and-control-server is gecomprimeerd met zlib en vervolgens versleuteld met AES (Advanced Encryption Standard) gebruikmakend van RSA public-key cryptography.
Dit type bescherming wordt zeer zelden gezien in malware, zei Raiu. "Iets soortgelijks werd gebruikt in de Flame-malware voor cyberespionage, maar aan de serverkant."
Dit is een hulpprogramma voor cyberspionage dat is gemaakt door een nationale staat of een van de zogenaamde legale interceptiehulpmiddelen die door particuliere contractanten worden verkocht aan rechtshandhavingsinstanties en inlichtingendiensten voor grote sommen geld, zei hij.
Kaspersky Lab heeft nog geen informatie over de doelen van deze aanval of hun verspreiding over de hele wereld, zei Raiu.
Woensdag bereikt via e-mail, FireEye's senior director of security onderzoek, Zheng Bu, weigerde commentaar te geven op de doelen van de aanval. FireEye heeft woensdag een blogpost met technische informatie over de malware gepubliceerd, maar heeft geen informatie over slachtoffers vrijgegeven.
Bu zei dat de malware bepaalde technieken gebruikt om te detecteren of het wordt uitgevoerd in een virtuele machine, zodat het kan worden ontweken door geautomatiseerde malwaremanalysesystemen.
Na vergelijkbaar nieuws van Sony deze week , Barnes & Noble zei dat de e-reader voor sommige mensen niet zal worden verzonden tijdens de feestdagen. Slechts twee dagen nadat Sony zei dat de draadloze e-reader, de Daily Edition, misschien nog niet aan het einde van het jaar het jaar, Barnes & Noble zei dat zijn Nook e-reader is uitverkocht.
De Nook is nog niet begonnen met verzenden, maar de boekhandelaar zegt nu dat voorbestellingen voorraad beschikbaar hebben voor de feestdagen. Iedereen die nu de Nook bestelt, moet wachten tot na 4 januari, wanneer Barnes & Noble verwacht extra lezers te verzenden.
Adobe bevestigt inbreuk op Connectusers, sluit website
Adobe heeft gebruikers van het communityforum van zijn Adobe Connect Web-conferencing-platform afgesloten.
Wat is een Sandbox? Gratis sandbox-software voor Windows 10 pc
Een sandbox is een geïsoleerde omgeving die is gemaakt om toepassingen uit te voeren, zodat deze het besturingssysteem niet beïnvloeden. Er is wat vrije Sandboxing-software besproken.