Peneliti: Pengeksploitasi PDF zero-day mempengaruhi Adobe Reader 11, versi sebelumnya

Peneliti dari firma keamanan FireEye mengklaim bahwa penyerang secara aktif menggunakan mengeksekusi eksekusi kode jarak jauh yang bekerja melawan versi terbaru Adobe Reader 9, 10, dan 11.

“Hari ini, kami mengidentifikasi bahwa PDF zero-day [kerentanan] sedang dieksploitasi di alam liar, dan kami mengamati eksploitasi yang berhasil pada Adobe PDF Reader 9.5.3, 10.1.5, dan 11.0.1, ”kata peneliti FireEye pada Selasa malam di sebuah posting blog.

Eksploitasi menjatuhkan dan memuat dua file DLL pada sistem. Satu file menampilkan pesan galat palsu dan membuka dokumen PDF yang digunakan sebagai umpan, kata para peneliti FireEye.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Eksekusi eksekusi kode jarak jauh secara teratur menyebabkan target program macet. Dalam konteks ini, pesan kesalahan palsu dan dokumen kedua kemungkinan besar digunakan untuk mengelabui pengguna agar percaya bahwa kecelakaan itu adalah hasil dari kerusakan sederhana dan program berhasil dipulihkan.

Sementara itu, DLL kedua menginstal komponen berbahaya yang memanggil kembali ke domain jarak jauh, kata para peneliti FireEye.

Tidak jelas bagaimana mengeksploitasi PDF sedang disampaikan di tempat pertama - melalui email atau melalui Web - atau siapa target serangan yang menggunakannya. FireEye tidak segera menanggapi permintaan untuk informasi tambahan yang dikirim hari Rabu.

"Kami telah mengirimkan sampel ke tim keamanan Adobe," kata peneliti FireEye dalam posting blog. “Sebelum kami mendapat konfirmasi dari Adobe dan rencana mitigasi tersedia, kami sarankan agar Anda tidak membuka file PDF yang tidak dikenal.”

Tim Respons Insiden Keamanan Produk Adobe (PSIRT) mengkonfirmasi pada hari Selasa di posting blog bahwa mereka sedang menyelidiki laporan kerentanan dalam Adobe Reader dan Acrobat XI (11.0.1) dan versi sebelumnya sedang mengeksploitasi di alam liar. Risiko untuk pelanggan sedang dinilai, kata tim.

Menanggapi permintaan untuk pembaruan status yang dikirim Rabu, Heather Edell, manajer senior komunikasi perusahaan Adobe, mengatakan bahwa perusahaan masih menyelidiki.

Sandboxing adalah teknik anti-eksploitasi yang mengisolasi operasi sensitif suatu program dalam lingkungan yang dikontrol ketat untuk mencegah penyerang menulis dan mengeksekusi kode jahat pada sistem yang mendasari bahkan setelah mengeksploitasi kerentanan eksekusi kode jarak jauh tradisional dalam kode program.

Sukses mengeksploitasi program sandboxed harus meningkatkan beberapa kerentanan, termasuk yang memungkinkan exploit untuk melarikan diri dari kotak pasir. Kerusakan bypass kotak pasir semacam itu jarang terjadi, karena kode yang mengimplementasikan kotak pasir sebenarnya biasanya ditinjau dengan saksama dan cukup kecil jika dibandingkan dengan basis kode program secara keseluruhan yang dapat berisi kerentanan.

Adobe menambahkan mekanisme kotak pasir untuk mengisolasi operasi tulis yang disebut Dilindungi Mode dalam Adobe Reader 10. Kotak pasir diperluas untuk mencakup operasi hanya baca di Adobe Reader 11, melalui mekanisme kedua yang disebut Tampilan Terproteksi.

Pada bulan November, peneliti keamanan dari perusahaan keamanan Rusia Group-IB melaporkan bahwa eksploit untuk Adobe Reader 10 dan 11 dijual di forum cybercriminal antara $ 30.000 dan $ 50.000. Eksploitasi keberadaannya tidak dikonfirmasi oleh Adobe pada saat itu.

"Sebelum pengenalan sandbox, Adobe Reader adalah salah satu aplikasi pihak ketiga yang paling ditargetkan oleh cybercriminals," Bogdan Botezatu, seorang analis e-ancaman senior di antivirus vendor BitDefender, kata Rabu melalui email. "Jika ini dikonfirmasi, penemuan lubang di kotak pasir akan sangat penting dan pasti akan menjadi dieksploitasi besar-besaran oleh penjahat dunia maya."

Botezatu percaya bahwa mem-bypass sandbox Adobe Reader adalah tugas yang sulit, tetapi ia mengharapkan ini terjadi pada beberapa titik karena banyaknya instalasi Adobe Reader menjadikan produk ini target yang menarik bagi penjahat cyber. "Tidak peduli berapa banyak perusahaan yang berinvestasi dalam pengujian, mereka masih tidak dapat memastikan bahwa aplikasi mereka bebas bug ketika digunakan pada mesin produksi," katanya.

Sayangnya pengguna Adobe Reader tidak memiliki banyak pilihan untuk melindungi diri mereka sendiri jika sandbox bypassing exploit benar-benar ada, kecuali sangat berhati-hati terhadap file dan tautan apa yang mereka buka, kata Botezatu. Pengguna harus memperbarui instalasi mereka segera setelah patch tersedia, katanya.