Car-tech

Các nhà nghiên cứu: Khai thác PDF zero-day ảnh hưởng đến Adobe Reader 11, phiên bản trước

Tutorial: Acrobat DC - Export von PDF Dokumenten in Word, Excel, Powerpoint, HTML

Tutorial: Acrobat DC - Export von PDF Dokumenten in Word, Excel, Powerpoint, HTML
Anonim

Các nhà nghiên cứu từ hãng bảo mật FireEye cho rằng kẻ tấn công đang tích cực sử dụng mã thực thi từ xa. 9, 10 và 11.

“Hôm nay, chúng tôi đã xác định rằng một lỗ hổng PDF không tồn tại trong ngày đang được khai thác trong môi trường hoang dã và chúng tôi đã quan sát thấy việc khai thác thành công trên Adobe PDF Reader 9.5.3, 10.1.5 và 11.0.1, ”các nhà nghiên cứu của FireEye cho biết vào cuối ngày thứ Ba trong một bài đăng trên blog.

Việc khai thác giảm xuống và tải hai tệp DLL trên hệ thống. Một tập tin hiển thị một thông báo lỗi không có thật và mở một tài liệu PDF được sử dụng như một mồi nhử, các nhà nghiên cứu của FireEye cho biết.

[Đọc thêm: Làm thế nào để loại bỏ phần mềm độc hại khỏi máy tính Windows của bạn] các chương trình bị lỗi. Trong bối cảnh này, thông báo lỗi giả và tài liệu thứ hai rất có thể được sử dụng để lừa người dùng tin rằng sự cố là kết quả của sự cố đơn giản và chương trình đã khôi phục thành công.

Trong khi đó, DLL thứ hai cài đặt thành phần độc hại Quay lại một miền xa xôi, các nhà nghiên cứu của FireEye cho biết.

Không rõ cách khai thác PDF đang được gửi ở địa điểm đầu tiên thông qua email hoặc qua Web hoặc những mục tiêu của cuộc tấn công bằng cách sử dụng nó. FireEye đã không ngay lập tức trả lời một yêu cầu bổ sung thông tin được gửi hôm thứ Tư.

"Chúng tôi đã gửi mẫu cho nhóm bảo mật của Adobe", các nhà nghiên cứu của FireEye cho biết trong bài đăng trên blog. “Trước khi chúng tôi nhận được xác nhận từ Adobe và một kế hoạch giảm thiểu có sẵn, chúng tôi khuyên bạn không nên mở bất kỳ tệp PDF nào không xác định.”

Nhóm phản hồi sự cố bảo mật sản phẩm Adobe (PSIRT) đã xác nhận vào một bài đăng trên blog báo cáo về một lỗ hổng trong Adobe Reader và Acrobat XI (11.0.1) và các phiên bản trước đó đang được khai thác trong tự nhiên.

Để đáp lại yêu cầu cập nhật trạng thái được gửi vào thứ Tư, Heather Edell, giám đốc cấp cao của Adobe về truyền thông doanh nghiệp, cho biết công ty vẫn đang điều tra.

Sandboxing là kỹ thuật chống bóc tách các hoạt động nhạy cảm của chương trình trong môi trường được kiểm soát chặt chẽ nhằm ngăn chặn kẻ tấn công viết và thực thi mã độc trên hệ thống cơ bản ngay cả sau khi khai thác lỗ hổng mã thực thi từ xa truyền thống trong mã chương trình. việc khai thác một chương trình sandbox sẽ phải tận dụng nhiều lỗ hổng, bao gồm cả một lỗ hổng cho phép khai thác thoát khỏi sandbox. Lỗ hổng bỏ qua sandbox như vậy là rất hiếm, bởi vì mã thực hiện sandbox thực tế thường được xem xét cẩn thận và có độ dài khá nhỏ so với codebase tổng thể của chương trình có thể chứa lỗ hổng.

Adobe thêm một cơ chế sandbox để cô lập các hoạt động ghi được gọi là Protected Chế độ trong Adobe Reader 10. Sandbox được mở rộng hơn nữa để bao gồm các hoạt động chỉ đọc cũng như trong Adobe Reader 11, thông qua một cơ chế thứ hai được gọi là Protected View.

Quay lại vào tháng 11, các nhà nghiên cứu bảo mật của hãng bảo mật Nga Group-IB đã báo cáo rằng một khai thác cho Adobe Reader 10 và 11 đã được bán trên các diễn đàn về tội phạm mạng với giá từ 30.000 đến 50.000 đô la. Sự tồn tại của khai thác đã không được Adobe xác nhận vào thời điểm đó.

“Trước khi giới thiệu sandbox, Adobe Reader là một trong những ứng dụng của bên thứ ba được nhắm mục tiêu nhiều nhất bởi tội phạm mạng,” Bogdan Botezatu, một nhà phân tích mối đe dọa cấp cao về virus nhà cung cấp BitDefender, cho biết hôm thứ Tư qua email. “Nếu điều này được xác nhận, việc phát hiện ra một lỗ hổng trong hộp cát sẽ có tầm quan trọng rất quan trọng và chắc chắn sẽ bị bọn tội phạm mạng khai thác một cách ồ ạt.”

Botezatu tin rằng bỏ qua hộp cát Adobe Reader là một nhiệm vụ khó khăn, nhưng ông dự đoán điều này sẽ xảy ra tại một số điểm bởi vì số lượng lớn cài đặt Adobe Reader làm cho sản phẩm trở thành mục tiêu hấp dẫn đối với tội phạm mạng. "Không có vấn đề bao nhiêu công ty đầu tư vào thử nghiệm, họ vẫn không thể đảm bảo rằng các ứng dụng của họ là lỗi miễn phí khi triển khai trên máy sản xuất", ông nói. Botezatu cho biết việc khai thác bỏ qua hộp cát thực sự tồn tại, ngoại trừ việc cực kỳ cẩn thận về những tập tin và liên kết mà chúng mở ra. Người dùng nên cập nhật cài đặt của họ ngay sau khi bản vá có sẵn, anh ta nói.

Các nhà nghiên cứu tại Viện Công nghệ Massachusetts cho biết họ đã tạo ra một bước đột phá với công nghệ ánh sáng mà cuối cùng có thể giúp các nhà sản xuất chip tạo ra những mạch tốt hơn. Rajesh Menon, một kỹ sư nghiên cứu tại khoa kỹ thuật điện và khoa học máy tính của MIT, cho biết, trước đây có thể, cho phép các nhà sản xuất chip khắc các mạch tin tức hơn vào chip của họ. các kỹ thuật được sử dụng ngày nay không thể tạo ra các mô hình nhỏ hơn bước sóng của ánh sáng.

Các nhà nghiên cứu tại Viện Công nghệ Massachusetts cho biết họ đã tạo ra một bước đột phá với công nghệ ánh sáng mà cuối cùng có thể giúp các nhà sản xuất chip tạo ra những mạch tốt hơn. Rajesh Menon, một kỹ sư nghiên cứu tại khoa kỹ thuật điện và khoa học máy tính của MIT, cho biết, trước đây có thể, cho phép các nhà sản xuất chip khắc các mạch tin tức hơn vào chip của họ. các kỹ thuật được sử dụng ngày nay không thể tạo ra các mô hình nhỏ hơn bước sóng của ánh sáng.

Các nhà nghiên cứu MIT đã đưa ra một cách để vẽ các đường rất hẹp bằng cách kết hợp các chùm ánh sáng với nhau erent wavelengths. Họ sử dụng cái gọi là mô hình giao thoa, trong đó các bước sóng ánh sáng khác nhau đôi khi củng cố lẫn nhau, và ở những nơi khác hủy nhau.

Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang

Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang

Cho đến nay, Microsoft cho biết họ đã nhận được các báo cáo về "một số lượng nhỏ các cuộc tấn công nhắm mục tiêu" bằng cách sử dụng khai thác này. Các nhà sản xuất phần mềm đang làm việc trên một bản vá bảo mật cho vấn đề, nhưng công ty vẫn chưa nói liệu nó sẽ phát hành một bản cập nhật bảo mật càng sớm càng tốt hoặc là một phần của chu kỳ cập nhật “patch Tuesday” hàng tháng của họ. "Bản vá thứ ba" tiếp theo sẽ là ngày 9 tháng 10.

Các nhà nghiên cứu AlienVault đã theo dõi các cuộc tấn công sử dụng PlugX RAT kể từ đầu năm nay. . Dựa trên các đường dẫn gỡ lỗi trong phần mềm độc hại, họ tin rằng RAT tương đối mới được phát triển bởi một hacker Trung Quốc được gọi là WHG, người có mối quan hệ trước đó với Network Crack Program Hacker (NCPH), một nhóm hacker nổi tiếng của Trung Quốc. Các nhà nghiên cứu AlienVault cũng đã xác định hai trang web bổ sung phục vụ cho việc khai thác IE mới trong quá khứ, nhưng không có trọng tải nà

Các nhà nghiên cứu AlienVault đã theo dõi các cuộc tấn công sử dụng PlugX RAT kể từ đầu năm nay. . Dựa trên các đường dẫn gỡ lỗi trong phần mềm độc hại, họ tin rằng RAT tương đối mới được phát triển bởi một hacker Trung Quốc được gọi là WHG, người có mối quan hệ trước đó với Network Crack Program Hacker (NCPH), một nhóm hacker nổi tiếng của Trung Quốc. Các nhà nghiên cứu AlienVault cũng đã xác định hai trang web bổ sung phục vụ cho việc khai thác IE mới trong quá khứ, nhưng không có trọng tải nà

"Có vẻ như những kẻ đứng sau 0 ngày này nhắm vào các ngành cụ thể", Blasco cho biết.