Adobe conferma l'exploit zero-day aggira la sandbox Adobe Reader

Un exploit di recente che aggira la protezione anti-sfruttamento della sandbox in Adobe Reader 10 e 11 è altamente sofisticato ed è probabilmente parte di un'importante operazione di cyberespionaggio Il capo del team di analisi del malware presso il fornitore di antivirus Kaspersky Lab ha dichiarato:

L'exploit è stato scoperto martedì dai ricercatori della società di sicurezza FireEye, che hanno affermato di essere stati utilizzati in attacchi attivi. Adobe ha confermato che l'exploit funziona contro le ultime versioni di Adobe Reader e Acrobat, inclusi 10 e 11, che dispongono di un meccanismo di protezione sandbox.

"Adobe è a conoscenza dei report che queste vulnerabilità vengono sfruttate in natura in attacchi mirati progettati per indurre gli utenti di Windows a fare clic su un file PDF dannoso contenuto in un messaggio di posta elettronica ", ha dichiarato la società in un avviso sulla sicurezza pubblicato mercoledì.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Adobe sta funzionando su una patch, ma nel frattempo si consiglia agli utenti di Adobe Reader 11 di abilitare la modalità Vista protetta scegliendo l'opzione "File da posizioni potenzialmente non sicure" nel menu Modifica> Preferenze> Sicurezza (Avanzate).

L'exploit e il malware che installa è di altissimo livello, secondo Costin Raiu, direttore del team di ricerca e analisi del malware di Kaspersky Lab. "Non è qualcosa che vedi tutti i giorni", ha detto giovedì.

A giudicare dalla sofisticazione degli attacchi, Raiu ha concluso che devono far parte di un'operazione di "enorme importanza" che "sarebbe sullo stesso livello di Duqu. "

Duqu è un pezzo di malware ciberespionage scoperto nell'ottobre 2011 collegato a Stuxnet, il worm altamente sofisticato che ha ricevuto l'accusa di dannose centrifughe per l'arricchimento dell'uranio nella centrale nucleare iraniana a Natanz. Si ritiene che sia Duqu sia Stuxnet siano stati creati da uno stato nazionale.

L'ultimo exploit si presenta sotto forma di un documento PDF e attacca due vulnerabilità separate in Adobe Reader. Uno è usato per ottenere privilegi arbitrari di esecuzione del codice e uno è usato per uscire dalla sandbox di Adobe Reader 10 e 11, ha detto Raiu.

L'exploit funziona su Windows 7, inclusa la versione a 64 bit del sistema operativo, e ignora i meccanismi anti-sfruttamento ASLR (randomizzazione del layout di spazio degli indirizzi) e DEP (Data Execution Prevention).

Quando viene eseguito, l'exploit apre un documento PDF falso che contiene un modulo di domanda di visto di viaggio, ha detto Raiu. Il nome di questo documento è "Visaform Turkey.pdf."

L'exploit inoltre rilascia ed esegue un componente downloader di malware che si collega a un server remoto e scarica due componenti aggiuntivi. Questi due componenti rubano password e informazioni sulla configurazione del sistema e possono registrare le sequenze di tasti, ha detto.

La comunicazione tra il malware e il server di comando e controllo è compressa con zlib e quindi crittografata con AES (Advanced Encryption Standard) utilizzando la crittografia a chiave pubblica RSA.

Questo tipo di protezione è molto raro visto nel malware, ha detto Raiu. "Qualcosa di simile è stato usato nel malware dei cyberpionage Flame, ma dal lato server."

Questo è uno strumento di cyber-censura creato da uno stato nazionale o uno dei cosiddetti strumenti di intercettazione legale venduti da appaltatori privati ​​alle forze dell'ordine e agenzie di intelligence per ingenti somme di denaro, ha detto.

Kaspersky Lab non ha ancora informazioni sugli obiettivi di questo attacco o sulla loro distribuzione in tutto il mondo, ha detto Raiu.

Raggiunto via e-mail mercoledì, il responsabile della sicurezza di FireEye la ricerca, Zheng Bu, non ha voluto commentare gli obiettivi dell'attacco. FireEye ha pubblicato un post sul blog con informazioni tecniche sul malware mercoledì, ma non ha rivelato alcuna informazione sulle vittime.

Bu ha detto che il malware utilizza determinate tecniche per rilevare se viene eseguito in una macchina virtuale in modo che possa eludere il rilevamento da parte di sistemi automatizzati di analisi del malware.