Adobe bekräftar omdirigering för nolldagar ombyggnad av Adobe Reader-sandlåda

Ett nyligen funnit exploit som överträffar skyddet av sandlåda mot exploatering i Adobe Reader 10 och 11 är mycket sofistikerat och är antagligen en del av en viktig cyberspionage operation, sade chefen för malwareanalysteamet hos antivirusleverantören Kaspersky Lab.

Utnyttjandet upptäcktes tisdag av forskare från säkerhetsföretag FireEye, som sa att det användes i aktiva attacker. Adobe bekräftade att exploateringen fungerar mot de senaste versionerna av Adobe Reader och Acrobat, inklusive 10 och 11, som har en sandlåda skyddsmekanism.

"Adobe är medveten om rapporter om att dessa sårbarheter utnyttjas i naturen i målta attacker som är designade att lura Windows-användare om att klicka på en skadlig PDF-fil som levereras i ett e-postmeddelande, säger företaget i en säkerhetsrådgivande publicerad onsdag.

[Läs mer: Så här tar du bort skadlig kod från din Windows-dator]

Adobe arbetar på en korrigeringsfil, men under tiden rekommenderas användare av Adobe Reader 11 att aktivera skyddsvisningsläget genom att välja alternativet "Filer från potentiellt osäkra platser" under menyn Redigera> Inställningar> Säkerhet (förbättrad).

Utnyttja och Malware det installeras är super hög nivå, enligt Costin Raiu, chef för Kaspersky Labs malwareforsknings- och analysteam. "Det är inte något du ser varje dag", sa han på torsdagen.

Raiu bedömde att de måste ingå i en operation av "stor betydelse" som "skulle vara på samma nivå med Duqu. "

Duqu är en del av skadlig skadlig kod som upptäcktes i oktober 2011, som är relaterad till Stuxnet, den mycket sofistikerade datormask som krediteras med skadliga uranberikningscentrifuger vid Irans kärnkraftverk i Natanz. Både Duqu och Stuxnet tros ha skapats av en nationstat.

Det senaste utnyttjandet kommer i form av ett PDF-dokument och angriper två separata sårbarheter i Adobe Reader. En används för att få godtyckliga kodkörningsbehörigheter och en används för att fly från Adobe Reader 10 och 11 sandlåda, säger Raiu.

Utnyttjandet fungerar på Windows 7, inklusive 64-bitarsversionen av operativsystemet, och det kringgår Windows ASLR (randomisering av adressutrymme) och DEP (Data Execution Prevention) -utnyttjande mekanismer.

När exekveringen öppnar öppnar ett decoy PDF-dokument som innehåller en ansökningsformulär för resevisum, sade Raiu. Namnet på det här dokumentet är "Visaform Turkey.pdf."

Utnyttjandet faller och exekverar också en skadlig programvaru nedladdningskomponent som ansluts till en fjärrserver och laddar ner ytterligare två komponenter. Dessa två komponenter stjäl lösenord och information om systemkonfigurationen och kan logga tangenttryckningar, sa han.

Kommunikationen mellan malware och kommando- och kontrollservern komprimeras med zlib och krypteras sedan med AES (Advanced Encryption Standard) med hjälp av RSA-nyckelkryptografi.

Denna typ av skydd ses mycket sällan i skadlig kod, sade Raiu. "Något liknande användes i Flame cyberespionage malware, men på serverns sida."

Det här är antingen ett verktyg för cyberspionage som skapats av en nationstat eller ett av de så kallade lagliga avlyssningsverktygen som säljs av privata entreprenörer till brottsbekämpning och intelligensbyråer för stora summor pengar, sade han.

Kaspersky Lab har ännu inte information om denna angrepps mål eller deras utbredning runt om i världen, säger Raiu.

Uppnåddes via e-post onsdag, FireEye s säkerhetschef forskning, Zheng Bu, avböjde sig för att kommentera attackerens mål. FireEye publicerade ett blogginlägg med teknisk information om malware på onsdag, men avslöjade inte någon information om offer.

Bu sa att malware använder vissa tekniker för att upptäcka om den körs i en virtuell maskin så att det kan undvika detektering av automatiserade malwareanalyssystem.