Adobe bestätigt Zero-Day-Exploit umgeht Adobe Reader Sandbox

Ein kürzlich gefundener Exploit, der den Sandbox-Antiausbeuterschutz in Adobe Reader 10 und 11 umgeht, ist hochentwickelt und wahrscheinlich Teil einer wichtigen Cyberspionageoperation, sagte der Leiter des Malware-Analyse-Teams des Antivirus-Anbieters Kaspersky Lab.

Der Exploit wurde am Dienstag von Forschern der Sicherheitsfirma FireEye entdeckt, die behaupteten, sie würden bei aktiven Angriffen eingesetzt. Adobe hat bestätigt, dass der Exploit gegen die neuesten Versionen von Adobe Reader und Acrobat funktioniert, einschließlich 10 und 11, die einen Sandbox-Schutzmechanismus haben.

"Adobe ist bewusst, dass diese Sicherheitslücken bei gezielten Angriffen ausgenutzt werden Windows-Benutzer dazu zu verleiten, auf eine bösartige PDF-Datei in einer E-Mail-Nachricht zu klicken ", hieß es in einem am Mittwoch veröffentlichten Sicherheitshinweis.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Adobe funktioniert auf einem Patch, aber den Benutzern von Adobe Reader 11 wird empfohlen, den geschützten Ansichtsmodus zu aktivieren, indem Sie im Menü Bearbeiten> Einstellungen> Sicherheit (Erweitert) die Option "Dateien von möglicherweise unsicheren Speicherorten" auswählen Laut Costin Raiu, Direktor des Malware-Forschungs- und Analyseteams von Kaspersky Lab, handelt es sich bei der installierten Malware um ein sehr hohes Niveau. "Es ist nicht etwas, das man jeden Tag sieht", sagte er am Donnerstag.

Raiu folgerte, dass sie Teil einer Operation von "großer Wichtigkeit" sein müssten, die "auf der gleichen Ebene mit Duqu sein würde. "

Duqu ist ein Cyber-Spionage-Schadprogramm, das im Oktober 2011 entdeckt wurde und mit Stuxnet in Zusammenhang steht, dem hochentwickelten Computerwurm, dem Urananreicherungszentrifugen im iranischen Atomkraftwerk in Natanz zugeschrieben werden. Es wird angenommen, dass Duqu und Stuxnet von einem Nationalstaat erstellt wurden.

Der neueste Exploit kommt in Form eines PDF-Dokuments und attackiert zwei verschiedene Sicherheitslücken in Adobe Reader. Einer wird verwendet, um willkürliche Code-Ausführungsrechte zu erlangen, und einer wird verwendet, um aus der Sandbox von Adobe Reader 10 und 11 zu entkommen, sagte Raiu.

Der Exploit funktioniert unter Windows 7, einschließlich der 64-Bit-Version des Betriebssystems umgeht die Windows ASLR (Adressraumlayout-Randomisierung) und DEP (Data Execution Prevention) Mechanismen gegen Ausnutzung.

Bei der Ausführung öffnet der Exploit ein Decoy-PDF-Dokument, das ein Antragsformular für ein Reisevisum enthält, sagte Raiu. Der Name dieses Dokuments lautet "Visaform Turkey.pdf".

Der Exploit löscht auch und führt eine Malware-Downloader-Komponente aus, die sich mit einem Remote-Server verbindet und zwei zusätzliche Komponenten herunterlädt. Diese beiden Komponenten stehlen Passwörter und Informationen über die Systemkonfiguration und können Tastenanschläge protokollieren.

Die Kommunikation zwischen der Malware und dem Command-and-Control-Server wird mit zlib komprimiert und dann mit AES (Advanced Encryption Standard) verschlüsselt Verwendung von RSA Public-Key-Kryptographie.

Diese Art von Schutz wird sehr selten in Malware gesehen, sagte Raiu. "Etwas Ähnliches wurde in der Cyber-Spionage-Malware von Flame verwendet, aber auf der Serverseite."

Dies ist entweder ein Cyberspionage-Tool, das von einem Nationalstaat entwickelt wurde, oder eines der sogenannten Lawful Interception-Tools, die von privaten Auftragnehmern an Strafverfolgungsbehörden verkauft werden "

Kaspersky Lab hat noch keine Informationen über die Ziele dieses Angriffs oder seine Verteilung auf der ganzen Welt", sagte Raiu.

Erreicht am Mittwoch, dem Senior Director of Security von FireEye, per E-Mail Forschung, Zheng Bu, lehnte es ab, die Ziele des Angriffs zu kommentieren. FireEye hat am Mittwoch einen Blogbeitrag mit technischen Informationen über die Malware veröffentlicht, aber keine Informationen über Opfer veröffentlicht.

Bu sagte, dass die Malware bestimmte Techniken verwendet, um zu erkennen, ob sie in einer virtuellen Maschine ausgeführt werden, so dass sie der Erkennung durch automatisierte Malware-Analysesysteme entgehen kann.