Предотвращение и расследование киберпреступлений

Group-IB обнаружила уязвимость «нулевого дня» в Adobe Reader X/XI

07.11.2012, г. Москва. Специалистами компании Group-IB обнаружена недокументированная ранее уязвимость в одном из самых популярных средств просмотра и работы с форматом PDF — Adobe Reader X/XI. Данная уязвимость представляет особый интерес для киберпреступников, так как позволяет злоумышленникам с повышенным процентом успешной эксплуатации заражать вредоносными программами компьютеры пользователей через современные интернет-браузеры.

Для эксплуатации обнаруженной уязвимости «нулевого дня» необходимо сформировать специальным образом PDF-файл, содержащий искаженные формы. Злоумышленник отправляет его по электронной почте в качестве вложения либо предоставляет ссылку на открытие такого документа, после чего успешно выполняется вредоносный код на компьютере жертвы. Уязвимость частично включена в отдельные наборы вредоносного программного обеспечения, направленного на хищение средств в онлайн-банкингах с использованием банковских троянов таких, как Zeus, Spyeye, Carberp, Citadel. Стоимость подобных уязвимостей на рынке киберпреступности варьируется от 30000 до 50000 долларов.

«Для успешной эксплуатации этой уязвимости необходимы специальные условия: к примеру, чтобы осуществилось неавторизированное исполнение произвольного кода необходимо закрытие интернет-браузера либо его перезагрузка, — комментирует Андрей Комаров, директор департамента международных проектов, аудита и консалтинга Group-IB. — Другим вариантом эксплуатации уязвимости является инициализация интерактивного взаимодействия с пользователем, согласно которому жертве потребуется подтвердить какое-либо действие в контексте открытого документа, после чего выполнится вредоносный код».

Одной из существенных особенностей является тот факт, что ранее не было афишировано ни одного эксплойта под указанную версию Adobe Reader по причине наличия встроенной «песочницы» (Sandbox, Protected View — http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html), которая ограничивает возможности выполнения произвольного кода за счет внутренних инструкций и специальной среды исполнения.

«Уязвимости “нулевого дня” влекут за собой появление новых способов распространения вредоносного кода, что активно используется киберпреступниками для создания эффективного механизма заражения, — добавляет Дэн Клементс, директор Group-IB US. — Наибольший риск для пользователей создают именно продукты массового использования, такие как популярный Adobe Reader. Поэтому в ближайшее время можно ожидать выхода обновления для этой программы, которое позволит закрыть обнаруженную уязвимость».

Описание уязвимости и демонстрация техники эксплуатации можно найти на официальном канале компании Group-IB на Youtube по адресу http://www.youtube.com/watch?v=uGF8VDBkK0M&feature=youtu.be.

О Group-IB

Созданная в 2003 году международная компания Group-IB — лидер российского рынка в области расследования компьютерных преступлений — оказывает полный комплекс услуг по расследованию компьютерных преступлений, начиная от оперативного реагирования на инцидент и заканчивая постинцидентным консалтингом. В составе компании работает Лаборатория компьютерной криминалистики и исследования вредоносного кода, оказывающая услуги независимой компьютерной экспертизы, в том числе и правоохранительным органам России. На базе Group-IB осуществляет свою деятельность CERT-GIB, круглосуточный центр быстрого реагирования на инциденты информационной безопасности. Входит в LETA Group.

Оставайтесь на связи!
Читайте наши новости в социальных сетях
×

Свяжитесь с нами:

+7 495 984-33-64
help@group-ib.ru

Подробнее