Forscher: Zero-Day-PDF-Exploit wirkt sich auf Adobe Reader 11 aus, frühere Versionen

Forscher des Sicherheitsunternehmens FireEye behaupten, dass Angreifer aktiv einen Codeausführungsfehler ausnutzen, der gegen die neuesten Versionen von Adobe Reader arbeitet 9, 10 und 11.

"Heute haben wir festgestellt, dass eine PDF-Zero-Day-Schwachstelle in der freien Wildbahn ausgebeutet wird, und wir haben eine erfolgreiche Nutzung der neuesten Adobe PDF-Reader 9.5.3, 10.1.5 und 11.0.1, "sagten die FireEye-Forscher am späten Dienstag in einem Blogbeitrag.

Der Exploit löscht und lädt zwei DLL-Dateien auf dem System. Eine Datei zeigt eine gefälschte Fehlermeldung an und öffnet ein PDF-Dokument, das als Lockvogel verwendet wird, sagten die FireEye-Forscher.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Exploits führen regelmäßig zur Ausführung des Targeting Programme zum Absturz bringen. In diesem Zusammenhang werden die gefälschte Fehlermeldung und das zweite Dokument höchstwahrscheinlich verwendet, um Benutzer glauben zu lassen, dass der Absturz das Ergebnis einer einfachen Fehlfunktion war und das Programm erfolgreich wiederhergestellt wurde.

Inzwischen installiert die zweite DLL eine bösartige Komponente, die anruft Zurück zu einer Remote-Domäne, sagten die FireEye-Forscher.

Es ist nicht klar, wie der PDF-Exploit überhaupt geliefert wird - per E-Mail oder über das Web - oder wer die Ziele der Angriffe waren. FireEye reagierte nicht sofort auf eine Anfrage nach zusätzlichen Informationen, die am Mittwoch verschickt wurden.

"Wir haben das Muster bereits an das Adobe-Sicherheitsteam gesendet", sagten die FireEye-Forscher im Blogpost. "Bevor wir eine Bestätigung von Adobe erhalten und ein Mitigationsplan zur Verfügung steht, empfehlen wir Ihnen, keine unbekannten PDF-Dateien zu öffnen."

Das Adobe Product Security Incident Response Team (PSIRT) hat Dienstag in einem Blogpost bestätigt, dass es eine Untersuchung durchführt Bericht über eine Sicherheitslücke in Adobe Reader und Acrobat XI (11.0.1) und früheren Versionen, die in freier Natur genutzt werden. Das Risiko für Kunden wird bewertet, sagte das Team.

Als Reaktion auf eine Anfrage für eine Statusaktualisierung am Mittwoch sagte Heather Edell, Adobes Senior Manager für Unternehmenskommunikation, dass das Unternehmen noch ermittelt.

Sandboxing ist eine Anti-Auswertungsmethode, die die sensiblen Vorgänge eines Programms in einer streng kontrollierten Umgebung isoliert, um Angreifer davon abzuhalten, bösartigen Code auf dem zugrunde liegenden System zu schreiben und auszuführen, selbst nachdem eine herkömmliche Codeausführungs-Schwachstelle im Programmcode ausgenutzt wurde Exploit gegen ein Sandbox-Programm müsste mehrere Sicherheitslücken ausnutzen, einschließlich eines, mit dem der Exploit aus der Sandbox entkommen kann. Solche Sandbox-Umgehungsschwachstellen sind selten, da der Code, der die eigentliche Sandbox implementiert, in der Regel sorgfältig überprüft wird und im Vergleich zur gesamten Codebasis des Programms Schwachstellen aufweist.

Adobe hat einen Sandbox-Mechanismus zur Isolierung von Schreibvorgängen namens Protected hinzugefügt Modus in Adobe Reader 10. Die Sandbox wurde außerdem durch einen zweiten Mechanismus namens "Protected View" in Adobe Reader 11 erweitert, um schreibgeschützte Vorgänge abzudecken.

Bereits im November meldeten dies Sicherheitsforscher der russischen Sicherheitsfirma Group-IB Ein Exploit für Adobe Reader 10 und 11 wurde in cyberkriminellen Foren zwischen 30.000 und 50.000 US-Dollar verkauft. Die Existenz des Exploits wurde von Adobe zu diesem Zeitpunkt noch nicht bestätigt.

"Vor der Einführung der Sandbox war der Adobe Reader eine der zielgerichtetesten Anwendungen von Drittanbietern für Cyberkriminelle", sagt Bogdan Botezatu, Senior E-Threat Analyst bei Antivirus Verkäufer BitDefender, sagte Mittwoch per E-Mail. "Wenn dies bestätigt wird, ist die Entdeckung eines Lochs in der Sandbox von entscheidender Bedeutung und wird definitiv von Cyberkriminellen massiv ausgenutzt werden."

Botezatu glaubt, dass die Umgehung der Adobe Reader-Sandbox eine schwierige Aufgabe ist, aber er hat dies irgendwann erwartet, da die große Anzahl von Adobe Reader-Installationen das Produkt zu einem attraktiven Ziel für Cyberkriminelle macht. "Unabhängig davon, wie viele Unternehmen in Tests investieren, können sie dennoch nicht sicherstellen, dass ihre Anwendungen bei der Bereitstellung auf Produktionsmaschinen fehlerfrei sind", sagte er.

Leider haben Adobe Reader-Benutzer nicht viele Optionen, um sich selbst zu schützen Sandbox-Umgehungsexplosion existiert tatsächlich, abgesehen davon, extrem vorsichtig zu sein, welche Dateien und Links sie öffnen, sagte Botezatu. Benutzer sollten ihre Installationen aktualisieren, sobald ein Patch verfügbar ist, sagte er.