И снова многострадальный Adobe

В наиболее распространенных продуктах компании Adobe — Acrobat/Reader — заинтересованные лица продолжают находить уязвимости и успешно их использовать.

Так, несколько дней назад к нам в Лабораторию попал интересный PDF-файл (детектируется как Exploit.JS.Pdfka.bui), в котором содержалось эксплуатирование обнаруженной в феврале уязвимости CVE-2010-0188 в Acrobat/Reader версии 9.3 и ниже.

В первую очередь в глаза бросается заведомо неправильно сформированное TIFF-изображение, которое находится внутри исходного PDF-файла.

Уязвимость — переполнение буфера — проявляется при обращении к полю, содержащему это изображение. Сама же атака осуществляется с помощью техники heap spraying, которая активно используется во многих эксплойтах к продуктам, которые могут обрабатывать JavaScript-код. К примеру, последняя громкая атака Aurora, была проведена с применением именно этой техники.

При удачном использовании вышеописанной уязвимости, адрес возврата перезаписывается заранее известным адресом 0xC0C0C0C0, по которому находится контролируемый злоумышленниками код.

После этого осуществляется переход на этот адрес, по которому располагается шеллкод. Он расшифровывает сначала свое тело, а затем исполняемый файл, который также находится внутри исходного PDF-файла.

Расшифрованный исполняемый файл (детектируется как Backdoor.Win32.Agent.aqoj) записывается в корень диска C:\ и запускается. Среди его функционала — загрузка данных о компьютере пользователя на удаленный сервер, а также загрузка на зараженный компьютер других вредоносных файлов.

Обновление для уязвимых продуктов было оперативно выпущено работниками Adobe. Однако злоумышленники будут использовать эту уязвимость (как, впрочем, и давно известные), пока все пользователи не будут защищены, поэтому во избежание подобного и других заражений рекомендуется установить последние обновления для Acrobat /Reader.