SWF или PDF? Все одно — Adobe!

Уязвимости в продуктах компании Adobe в последнее время являются, пожалуй, самой главной угрозой для пользователей. По числу заражений, происходящих из-за них, они, похоже, уже давно переплюнули любые уязвимости в операционной системе Windows и браузере Internet Explorer.

Очередная zero-day уязвимость была обнаружена вчера и сначала озадачила исследователей из антивирусных компаний. В «дикой природе" были перехвачены PDF-файлы, явно имевшие «китайский след».

Один из файлов имел название «Cao Chang-Ching The CPP made eight mistang Urumuqi incident_mm.pdf». События последних дней в китайском городе Урумчи, где происходили столкновения между местными жителями и полицией, были важной мировой новостью — и поэтому использование данной темы при распостранении вредоносных программ вполне понятно.

Файлы не содержали в себе уже традиционных вставок-эксплоитов на Java Script, как это было в предыдущих уязвимостях в PDF. Однако при запуске PDF-файла в системе появлялись два файла с именами temp.exe и suchost.exe: явно срабатывал какой-то эксплойт, и работал он даже на самой последней пропатченной версии Adobe Reader.

Более детальный анализ показал, что внутри PDF-файлов содержится вставленный SWF-объект — флеш-ролик. Флеш-ролики также являются продуктом компании Adobe, и для их просмотра используется Adobe Flash.

Обнаруженная уязвимость была именно в Adobe Flash Player версий 9 и 10, а не в Adobe Reader! Именно это и смутило поначалу исследователей, анализировавших PDF-файлы и их формат. Уязвимость использует «heap spray» и может работать как при открытии специально сконструированного PDF-файла, так и при посещении веб-сайтов.

Судя по некоторым косвенным признакам, мы можем констатировать, что данный вариант эксплойта был создан в начале июля (2 или 9 числа) и, вероятно, уже использовался в ряде точечных атак.

В проанализированных нами самплах в систему происходила установка двух вредоносных программ — Trojan.Win32.PowerPointer (модификации h и i) и очередного Trojan-Downloader.Win32.Agent (модификации cjll и cjoc).

Все они уже детектировались нашим антивирусом проактивно, при помощи эвристических технологий, как HEUR:Trojan.Generic.

Детектирование вредоносных PDF-файлов было добавлено вчера вечером, файлы детектируются под именами Exploit.SWF.Agent.br и .bs.

В настоящий момент компания Adobe официально подтверждает факт наличия 0-day уязвимости и сообщает о том, что исследует поступившие сообщения. Это означает, что уязвимость еще какое-то время (а прошлый опыт показывает, что это может занять и месяцы) будет оставаться непропатченной.

В этой связи мы настоятельно рекомендуем всем пользователям отключить использование Flash в Acrobat Reader и embedded objects в браузере.

В Adobe Reader для этого необходимо войти в пункт меню
Edit > Preferences Settings >Multimedia Trust -> Permission for Adobe Flash Player ->
и установить переключатель в “Never” или “Prompt”.