Onderzoekers: Zero-day PDF exploit beïnvloedt Adobe Reader 11, eerdere versies

Onderzoekers van beveiligingsbedrijf FireEye beweren dat aanvallers actief gebruik maken van een exploit voor externe code-uitvoering die tegen de nieuwste versies van Adobe Reader werkt 9, 10 en 11.

"Vandaag hebben we vastgesteld dat een PDF zero-day [kwetsbaarheid] in het wild wordt misbruikt, en we hebben geslaagde uitbuiting waargenomen in de nieuwste Adobe PDF Reader 9.5.3, 10.1.5 en 11.0.1, "zeiden de FireEye-onderzoekers eind dinsdag in een blogpost.

De exploit daalt en laadt twee DLL-bestanden op het systeem. Eén bestand geeft een nep-foutmelding weer en opent een PDF-document dat als lokaas wordt gebruikt, aldus de FireEye-onderzoekers.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Exploitaties bij het uitvoeren van externe code veroorzaken regelmatig de doelwit programma's om te crashen. In deze context worden de nep-foutmelding en het tweede document hoogstwaarschijnlijk gebruikt om gebruikers te laten geloven dat de crash het resultaat was van een eenvoudige storing en het programma met succes herstelde.

Ondertussen installeert de tweede DLL een kwaadwillende component die roept terug naar een extern domein, zeiden de onderzoekers van FireEye.

Het is niet duidelijk hoe de PDF-exploit in de eerste plaats wordt geleverd - via e-mail of via het web - of wie de doelwitten waren van de aanvallen die er gebruik van maakten. FireEye heeft niet onmiddellijk gereageerd op een verzoek om aanvullende informatie dat woensdag is verzonden.

"We hebben het voorbeeld al ingediend bij het Adobe-beveiligingsteam", aldus de FireEye-onderzoekers in de blogpost. "Voordat we een bevestiging van Adobe krijgen, is er een beperkingsplan beschikbaar. We stellen voor dat u geen onbekende PDF-bestanden opent."

Het Adobe Product Security Incident Response Team (PSIRT) bevestigde dinsdag in een blogpost dat het een onderzoek naar een melding van een kwetsbaarheid in Adobe Reader en Acrobat XI (11.0.1) en eerdere versies die in het wild worden misbruikt. Het risico voor klanten wordt beoordeeld, aldus het team.

In reactie op een woensdag verzonden verzoek voor een statusupdate zei Heather Edell, Adobe's senior manager voor bedrijfscommunicatie, dat het bedrijf nog steeds onderzoekt.

Sandboxing is een anti-exploitatietechniek die de gevoelige activiteiten van een programma isoleert in een strikt gecontroleerde omgeving om te voorkomen dat aanvallers kwaadaardige code schrijven en uitvoeren op het onderliggende systeem, zelfs nadat een traditioneel beveiligingslek met betrekking tot het uitvoeren van externe code in de programmacode is geëxploiteerd.

Een succesvolle exploit tegen een sandbox-programma zou moeten gebruikmaken van meerdere kwetsbaarheden, waaronder een die ervoor zorgt dat de exploit kan ontsnappen uit de sandbox. Zulke sandbox-bypass-kwetsbaarheden zijn zeldzaam, omdat de code die de feitelijke sandbox implementeert, meestal zorgvuldig wordt gecontroleerd en vrij klein is in vergelijking met de algemene codebase van het programma die kwetsbaarheden zou kunnen bevatten.

Adobe heeft een sandbox-mechanisme toegevoegd om schrijfbewerkingen genaamd Protected te isoleren Modus in Adobe Reader 10. De sandbox is verder uitgebreid naar alleen-lezen bewerkingen in Adobe Reader 11, via een tweede mechanisme genaamd Protected View. In november meldden beveiligingsonderzoekers van het Russische beveiligingsbedrijf Group-IB dat een exploit voor Adobe Reader 10 en 11 werd op cybercriminele forums verkocht voor tussen $ 30.000 en $ 50.000. Het bestaan ​​van de exploit werd op dat moment niet door Adobe bevestigd.

"Voor de introductie van de sandbox was Adobe Reader een van de meest gerichte applicaties van derden door cybercriminelen," Bogdan Botezatu, een senior e-threat analyst bij antivirus leverancier BitDefender, zei woensdag via e-mail. "Als dit wordt bevestigd, zal de ontdekking van een gat in de zandbak van cruciaal belang zijn en zeker enorm worden uitgebuit door cybercriminelen."

Botezatu is van mening dat het omzeilen van de Adobe Reader-sandbox een moeilijke taak is, maar hij verwachtte dat dit ooit zou gebeuren omdat het grote aantal installaties van Adobe Reader het product een aantrekkelijk doelwit maakt voor cybercriminelen. "Ongeacht hoeveel bedrijven investeren in testen, ze kunnen nog steeds niet garanderen dat hun applicaties bugvrij zijn wanneer ze worden ingezet op productiemachines," zei hij.

Helaas hebben Adobe Reader-gebruikers niet veel opties om zichzelf te beschermen als een het omzeilen van misbruik door sandbox bestaat eigenlijk, behalve dat het uiterst voorzichtig is met welke bestanden en koppelingen ze openen, zei Botezatu. Gebruikers zouden hun installaties moeten bijwerken zodra er een patch beschikbaar is, zei hij.