Adobe mengonfirmasi eksploitasi zero-day melewati kotak pasir Adobe Reader

Eksploitasi yang baru-baru ini ditemukan yang mengabaikan perlindungan anti-eksploitasi sandbox di Adobe Reader 10 dan 11 sangat canggih dan mungkin merupakan bagian dari operasi sosioedionase yang penting., kepala tim analisis malware di vendor antivirus Kaspersky Lab mengatakan.

Eksploitasi itu ditemukan Selasa oleh para peneliti dari firma keamanan FireEye, yang mengatakan bahwa itu digunakan dalam serangan aktif. Adobe menegaskan bahwa exploit bekerja melawan versi terbaru Adobe Reader dan Acrobat, termasuk 10 dan 11, yang memiliki mekanisme perlindungan kotak pasir.

"Adobe menyadari laporan bahwa kerentanan ini sedang dieksploitasi di alam liar dalam serangan bertarget yang dirancang untuk mengelabui pengguna Windows agar mengklik file PDF berbahaya yang dikirimkan dalam pesan email, "kata perusahaan itu dalam penasehat keamanan yang diterbitkan Rabu.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Adobe bekerja di patch, tetapi sementara itu pengguna Adobe Reader 11 disarankan untuk mengaktifkan mode Tampilan Terproteksi dengan memilih opsi "File dari lokasi yang berpotensi tidak aman" di bawah menu Edit> Preferensi> Keamanan (Ditingkatkan).

Eksploitasi dan malware yang dipasangnya sangat tinggi, menurut Costin Raiu, direktur tim riset dan analisis malware Kaspersky Lab. "Ini bukan sesuatu yang Anda lihat setiap hari," katanya Kamis.

Dilihat dari kecanggihan serangan, Raiu menyimpulkan bahwa mereka harus menjadi bagian dari operasi "sangat penting" bahwa "akan berada pada level yang sama dengan Duqu. "

Duqu adalah sepotong malware cyberespionase yang ditemukan pada Oktober 2011 yang terkait dengan Stuxnet, cacing komputer yang sangat canggih yang dikreditkan dengan pengayaan uranium pengayaan sentrifugal di pabrik nuklir Iran di Natanz. Duqu dan Stuxnet diyakini telah dibuat oleh negara bangsa.

Eksploitasi terbaru datang dalam bentuk dokumen PDF dan menyerang dua kerentanan terpisah di Adobe Reader. Satu digunakan untuk mendapatkan hak istimewa eksekusi kode arbitrer dan satu digunakan untuk melarikan diri dari kotak pasir Adobe Reader 10 dan 11, kata Raiu.

Pemanfaatan bekerja pada Windows 7, termasuk versi 64-bit dari sistem operasi, dan itu bypasses Windows ASLR (alamat tata letak ruang pengacakan) dan DEP (Data Execution Prevention) mekanisme anti-eksploitasi.

Ketika dieksekusi, eksploit membuka dokumen umpan umpan PDF yang berisi formulir permohonan visa perjalanan, Raiu mengatakan. Nama dokumen ini adalah "Visaform Turkey.pdf."

Eksploitasi juga menjatuhkan dan menjalankan komponen unduhan malware yang terhubung ke server jarak jauh dan mengunduh dua komponen tambahan. Kedua komponen ini mencuri kata sandi dan informasi tentang konfigurasi sistem, dan dapat mencatat keystroke, katanya.

Komunikasi antara malware dan server perintah-dan-kontrol dikompresi dengan zlib dan kemudian dienkripsi dengan AES (Advanced Encryption Standard) menggunakan kriptografi kunci publik RSA.

Jenis perlindungan ini sangat jarang terlihat pada malware, kata Raiu. "Sesuatu yang serupa digunakan dalam malware Flare cyberespionage, tetapi di sisi server."

Ini adalah alat cyberpersonase yang dibuat oleh negara bangsa atau salah satu alat intersepsi sah yang dijual oleh kontraktor swasta kepada penegak hukum dan badan intelijen untuk sejumlah besar uang, katanya.

Kaspersky Lab belum memiliki informasi tentang target serangan ini atau distribusi mereka di seluruh dunia, kata Raiu.

Mencapai melalui email pada hari Rabu, direktur senior keamanan FireEye penelitian, Zheng Bu, menolak berkomentar mengenai target serangan itu. FireEye mempublikasikan posting blog dengan informasi teknis tentang malware pada hari Rabu, tetapi tidak mengungkapkan informasi apa pun tentang korban.

Bu mengatakan bahwa malware menggunakan teknik tertentu untuk mendeteksi apakah itu dijalankan dalam mesin virtual sehingga dapat menghindari deteksi oleh sistem analisis malware otomatis.