Ricercatori: l'exploit PDF zero-day influisce su Adobe Reader 11, versioni precedenti

I ricercatori della società di sicurezza FireEye sostengono che gli aggressori utilizzano attivamente un exploit di esecuzione di codice remoto che funziona contro le ultime versioni di Adobe Reader 9, 10 e 11.

"Oggi abbiamo identificato che una vulnerabilità PDF zero-day viene sfruttata in natura e abbiamo osservato lo sfruttamento con successo sull'ultimo Adobe PDF Reader 9.5.3, 10.1.5 e 11.0.1, "i ricercatori di FireEye hanno detto martedì in un post sul blog.

L'exploit rilascia e carica due file DLL sul sistema. Un file visualizza un messaggio di errore fittizio e apre un documento PDF che viene utilizzato come esca, hanno detto i ricercatori di FireEye.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Gli exploit di esecuzione di codice in modalità remota causano regolarmente il targeting programmi in crash. In questo contesto, il falso messaggio di errore e il secondo documento sono probabilmente usati per indurre gli utenti a credere che il crash sia il risultato di un semplice malfunzionamento e il programma abbia recuperato con successo.

Nel frattempo, la seconda DLL installa un componente dannoso che chiama di nuovo a un dominio remoto, hanno detto i ricercatori di FireEye.

Non è chiaro in che modo l'exploit PDF viene fornito in primo luogo, via email o via Web, o chi erano gli obiettivi degli attacchi che lo utilizzavano. FireEye non ha risposto immediatamente a una richiesta di informazioni aggiuntive inviate mercoledì.

"Abbiamo già inviato il campione al team di sicurezza di Adobe", hanno detto i ricercatori di FireEye nel post del blog. "Prima di ottenere la conferma da Adobe e un piano di mitigazione è disponibile, ti suggeriamo di non aprire file PDF sconosciuti."

Il team di risposta agli incidenti della sicurezza dei prodotti Adobe (PSIRT) ha confermato martedì in un post che sta indagando su segnalazione di una vulnerabilità in Adobe Reader e Acrobat XI (11.0.1) e versioni precedenti sfruttate in natura. Il rischio per i clienti viene valutato, ha detto il team.

In risposta a una richiesta di aggiornamento di stato inviata mercoledì, Heather Edell, senior manager delle comunicazioni aziendali di Adobe, ha dichiarato che la società sta ancora indagando.

Sandboxing è una tecnica anti-sfruttamento che isola le operazioni sensibili di un programma in un ambiente strettamente controllato per impedire agli autori di attacchi di scrivere ed eseguire codice dannoso sul sistema sottostante anche dopo aver sfruttato una vulnerabilità di esecuzione di codice remota tradizionale nel codice del programma.

Un successo l'exploit contro un programma in modalità sandbox dovrebbe sfruttare molte vulnerabilità, inclusa una che consente all'exploit di uscire dalla sandbox. Tali vulnerabilità di sandbox bypass sono rare, poiché il codice che implementa la sandbox effettiva viene di solito esaminato attentamente ed è di dimensioni abbastanza ridotte rispetto al codebase generale del programma che potrebbe contenere vulnerabilità.

Adobe ha aggiunto un meccanismo sandbox per isolare le operazioni di scrittura chiamate Protetto Modalità in Adobe Reader 10. La sandbox è stata ulteriormente ampliata per coprire anche le operazioni di sola lettura in Adobe Reader 11, attraverso un secondo meccanismo denominato Visualizzazione protetta.

A novembre, i ricercatori di sicurezza della società di sicurezza russa Group-IB hanno riferito che un exploit per Adobe Reader 10 e 11 è stato venduto su forum cybercriminali tra $ 30.000 e $ 50.000. L'esistenza dell'exploit non era confermata da Adobe al momento.

"Prima dell'introduzione della sandbox, Adobe Reader era una delle applicazioni di terze parti più mirate dai criminali informatici", Bogdan Botezatu, analista senior di e-threat presso l'antivirus venditore BitDefender, ha detto Mercoledì via e-mail. "Se questo è confermato, la scoperta di un buco nella sandbox sarà di cruciale importanza e sarà sicuramente sfruttata in modo massivo dai criminali informatici".

Botezatu ritiene che bypassare la sandbox di Adobe Reader sia un compito difficile, ma si aspettava che ciò accadesse a un certo punto, perché il gran numero di installazioni di Adobe Reader rende il prodotto un bersaglio attraente per i criminali informatici. "Non importa quante aziende investano nei test, non possono ancora garantire che le loro applicazioni non siano prive di bug quando installate su macchine di produzione", ha detto.

Sfortunatamente gli utenti di Adobe Reader non hanno molte opzioni per proteggersi se l'exploit di bypass sandbox esiste, eccetto per essere estremamente attento a quali file e collegamenti aprono, ha detto Botezatu. Gli utenti dovrebbero aggiornare le loro installazioni non appena una patch diventa disponibile, ha detto.