Deploy Adobe Acrobat Reader DC in SCCM via Third party Software update catalog
Pesquisadores da firma de segurança FireEye afirmam que invasores estão usando ativamente uma exploração de execução remota de código que funciona contra as versões mais recentes do Adobe Reader 9, 10 e 11.
“Hoje, identificamos que um PDF de dia zero [vulnerabilidade] está sendo explorado na natureza, e observamos uma exploração bem-sucedida no mais recente Adobe PDF Reader 9.5.3, 10.1.5 e 11.0.1, ”os pesquisadores da FireEye disseram na terça-feira em um post no blog.
O exploit descarta e carrega dois arquivos DLL no sistema. Um arquivo exibe uma mensagem de erro falsa e abre um documento PDF que é usado como um chamariz, disseram os pesquisadores da FireEye.
[Leia mais: Como remover malware do seu PC Windows]Explorações de execução remota de código regularmente causam o alvo programas para travar. Nesse contexto, a falsa mensagem de erro e o segundo documento provavelmente são usados para induzir os usuários a acreditar que a falha foi resultado de um mau funcionamento simples e que o programa foi recuperado com êxito.
Enquanto isso, a segunda DLL instala um componente mal-intencionado que chama De volta a um domínio remoto, disseram os pesquisadores da FireEye.
Não está claro como a exploração de PDF está sendo entregue - via e-mail ou pela Web - ou quem foram os alvos dos ataques usando-a. A FireEye não respondeu imediatamente a uma solicitação de informações adicionais enviadas quarta-feira.
“Já enviamos a amostra para a equipe de segurança da Adobe”, disseram os pesquisadores da FireEye no post do blog. “Antes de recebermos a confirmação da Adobe e um plano de mitigação estiver disponível, sugerimos que você não abra arquivos PDF desconhecidos.”
A PSIRT (Equipe de Resposta a Incidentes de Segurança de Produtos da Adobe) confirmou na terça-feira que está investigando relatório de uma vulnerabilidade no Adobe Reader e no Acrobat XI (11.0.1) e versões anteriores que estão sendo exploradas no mundo real. O risco para os clientes está sendo avaliado, disse a equipe.
Em resposta a uma solicitação de atualização de status enviada quarta-feira, Heather Edell, gerente sênior de comunicações corporativas da Adobe, disse que a empresa ainda está investigando. uma técnica anti-exploração que isola as operações sensíveis de um programa em um ambiente estritamente controlado, a fim de evitar que os invasores escrevam e executem códigos maliciosos no sistema subjacente, mesmo depois de explorar uma vulnerabilidade de execução remota de código tradicional no código do programa. A exploração contra um programa em sandbox teria que aproveitar várias vulnerabilidades, incluindo uma que permite que o exploit escape da sandbox. Essas vulnerabilidades de bypass do sandbox são raras, porque o código que implementa o sandbox real é geralmente cuidadosamente revisado e é relativamente pequeno em comparação com a base de código geral do programa que pode conter vulnerabilidades.
A Adobe adicionou um mecanismo sandbox para isolar as operações de gravação chamadas Protected Modo no Adobe Reader 10. O sandbox foi expandido para cobrir operações somente de leitura no Adobe Reader 11, através de um segundo mecanismo chamado Protected View.
Em novembro, pesquisadores de segurança da empresa de segurança russa Group-IB relataram que um exploit para o Adobe Reader 10 e 11 estava sendo vendido em fóruns de cibercriminosos por entre US $ 30.000 e US $ 50.000. A existência do exploit não foi confirmada pela Adobe na época.
“Antes da introdução do sandbox, o Adobe Reader era um dos aplicativos de terceiros mais visados por criminosos cibernéticos”, afirma Bogdan Botezatu, analista sênior de ameaças eletrônicas do antivírus. fornecedor do BitDefender, disse quarta-feira via e-mail. “Se isso for confirmado, a descoberta de um buraco na caixa de areia será de importância crucial e definitivamente se tornará maciçamente explorada pelos cibercriminosos.”
Botezatu acredita que contornar o sandbox do Adobe Reader é uma tarefa difícil, mas ele esperava que isso acontecesse em algum momento, porque o grande número de instalações do Adobe Reader torna o produto um alvo atraente para os cibercriminosos. "Não importa o quanto as empresas invistam em testes, elas ainda não podem garantir que seus aplicativos estejam livres de bugs quando implantados em máquinas de produção", afirmou.
Infelizmente os usuários do Adobe Reader não têm muitas opções para se protegerem. O sandbox bypassing exploit realmente existe, exceto por ser extremamente cuidadoso com os arquivos e links que eles abrem, disse Botezatu. Os usuários devem atualizar suas instalações assim que um patch estiver disponível, disse ele.
A atualização corrigirá o problema nas versões 7.x, 8.xe 9.x para o Reader e o Acrobat no Windows, versões 8.xe 9.x do Reader e do Acrobat para Macintosh e versões do Reader 8.xe 9.x para o Unix. Ele consertará o bug CVE-2009-1492, que diz respeito à implementação do JavaScript no Reader e no Acrobat.
[Leia mais: Como remover malware do seu PC Windows]
Pesquisadores do fornecedor de segurança AlienVault identificaram uma variante de uma exploração do Internet Explorer recentemente descoberta que é usada para infectar computadores de destino com o programa RAT (Remote Access Trojan). A variante de exploração recém-descoberta visa a mesma vulnerabilidade não corrigida no IE 6, 7, 8 e 9 como a exploração original, mas usa um código ligeiramente diferente e tem uma carga útil diferente, disse o gerente da AlienVault Labs, Jaime Blasco, em um post
[Leia mais: Como remover malware do seu PC Windows]
Adobe confirma bypass de exploração do dia zero Adobe Reader sandbox
Uma exploração recentemente descoberta que ultrapassa a proteção anti-exploração do sandbox no Adobe Reader 10 e O 11 é altamente sofisticado e provavelmente faz parte de uma importante operação de ciberespionagem, diz Kaspersky.