Уязвимость «нулевого дня» в Adobe Reader

По сообщению компании Group-IB, ее специалисты обнаружили недокументированную ранее уязвимость в популярном средстве просмотра и работы с форматом PDF — Adobe Reader X/XI. Эта уязвимость представляет особый интерес для киберпреступников, так как позволяет с повышенным процентом успешной эксплуатации заражать вредоносными программами компьютеры пользователей через современные браузеры.

Для эксплуатации обнаруженной уязвимости «нулевого дня» необходимо специальным образом сформировать PDF-файл, содержащий искаженные формы. Его отправляют по электронной почте в качестве вложения либо предоставляют ссылку на открытие такого документа, после чего вредоносный код успешно выполняется на компьютере жертвы. Уязвимость частично включена в отдельные наборы ПО, направленного на хищение средств в онлайн-банкингах с использованием таких банковских троянов, как Zeus, Spyeye, Carberp, Citadel. Стоимость подобных уязвимостей на рынке киберпреступности варьируется от 30 тыс. до 50 тыс. долл.

По данным Group-IB, для успешной эксплуатации этой уязвимости необходимы специальные условия: к примеру, чтобы прошло неавторизированное исполнение произвольного кода, необходимо закрыть либо перезагрузить браузер. Другой вариант эксплуатации уязвимости – инициализация интерактивного взаимодействия с пользователем, согласно которому жертве потребуется подтвердить какое-либо действие в контексте открытого документа, после чего выполнится вредоносный код.

Ранее эксплойты под данную версию Adobe Reader не встречались по причине наличия встроенной «песочницы» (Sandbox, Protected View), которая ограничивает возможности выполнения произвольного кода за счет внутренних инструкций и специальной среды исполнения.