Luki

adreaderPo informacji badaczy bezpieczeństwa z FireEye, że zidentyfikowano lukę w aplikacji Adobe Reader, który był używany w ukierunkowanych atakach, Adobe późnym popołudniem w środę potwierdziło istnienie dwóch krytycznych luk w zabezpieczeniach programów Adobe Reader i Acrobat XI dla systemów Windows i Macintosh, które są eksploatowane w aktywnych atakach.

Wkrótce po potwierdzeniu przez Adobe luk, FireEye udzieliło dodatkowych informacji o atakach.

Dodatkowo, exploity zostaÅ‚y zaobserwowane w bardzo ukierunkowanych atakach na cele wysokiej ważnoÅ›ci i sÄ… pierwszymi próbami, aby skutecznie uciec przed “trybem chronionym” wykorzystywanym przez Adobe.

Obie luki zostały oznaczone jako CVE-2013-0640 i CVE-2013-0641, a analiza wykazuje, że ten atak jest poważną sprawą, a nie dziełem amatorów.


“[Atak] jest bardzo wyrafinowany i wykorzystuje kilka zaawansowanych technik eksploatacji” powiedziaÅ‚ Zheng Bu, dyrektor ds. badaÅ„ nad bezpieczeÅ„stwem w FireEye.

FireEye nie udzielił informacji, kto był celem ataku, który doprowadził do odkrycia problemu.

Zgodnie z przewidywaniem, napastnicy do ataków użyli szkodliwego pliku PDF dostarczonego przez e-mail, który został zaprojektowany, aby skłonić użytkowników Windows do kliknięcia na niego i wywołania exploita.

Rozmawiając z ThreatPost, Bu powiedział, że wzorce w malware doprowadziły analityków do wniosku, że atakujący może mieć hiszpańskojęzyczne pochodzenie.

Ciekawe w tym ataku jest to, że osadzony kod JavaScript próbuje określić używaną wersję programu Adobe Reader i wygenerować odpowiedni kod w zależności od znalezionej wersji.

Zarówno FireEye i Adobe unikają udzielania dodatkowych szczegółów technicznych na temat luk.

Obrona

Podczas oczekiwania na poprawki, użytkownicy programu Acrobat Reader w XI i XI Windows mogą chronić się przed exploitem przez włączenie widoku chronionego, poinformowało Adobe.
W systemie Windows, odczyt chroniony (PV) jest przeznaczony do bardzo bezpiecznego, tylko do odczytu, dostępu do plików. Blokuje on większość działań i zachowań aplikacji, dopóki użytkownik nie określi, czy ma zaufanie do dokumentu.
“Od strony systemu, PV jest podobny do trybu Reader Protected i zapewnia takÄ… samÄ… ochronÄ™,” Adobe wyjaÅ›nia. “Gdy PV jest wÅ‚Ä…czona, Acrobat zakÅ‚ada, że niektóre lub wszystkie pliki PDF sÄ… potencjalnie szkodliwe na podstawie preferencji użytkownika i ogranicza przetwarzanie.”
Administratorzy przedsiębiorstwa może chronić użytkowników Windows w całej ich organizacji poprzez włączenie trybu chronionego w rejestrze i propagowanie tego ustawienia poprzez GPO lub inne metody.
Dodatkowe informacje na temat włączania widoku chronionym dla przedsiębiorstwa są dostępne tutaj.

Kiedy Adobe wyda poprawki?

Adobe poinformowało, że jest obecnie w trakcie opracowywania poprawki dla luki. W związku z powagą tych luk, jest prawdopodobne, że Adobe opublikuje poprawkę jak najszybciej, ale data premiery nie została jeszcze ustalona.

Według Adobe, dotknięte wersje oprogramowania to:

  • Adobe Reader XI (11.0.01 i wczeÅ›niejszych) dla systemów Windows i Macintosh
  • Adobe Reader X (10.1.5 i wczeÅ›niejszych) dla systemów Windows i Macintosh
  • Adobe Reader 9.5.3 oraz jego wczeÅ›niejsze wersje 9.x dla systemów Windows i Macintosh
  • Adobe Acrobat XI (11.0.01 i wczeÅ›niejszych) dla systemów Windows i Macintosh
  • Adobe Acrobat X (10.1.5 i wczeÅ›niejszych) dla systemów Windows i Macintosh
  • Adobe Acrobat 9.5.3 oraz jego wczeÅ›niejsze wersje 9.x dla systemów Windows i Macintosh

Jak na ironię, właśnie w zeszłym tygodniu na szczycie w Kaspersky Lab analityk ds. bezpieczeństwa w Puerto Rico, David Lenoe, menadżer Security Adobe Product Incident Response Team, powiedział, że do tej chwili, Adobe nie widział żadnych przykładów skutecznego ominięcia trybu chronionego w Reader i Acrobat.