Уязвимости нулевого дня в продуктах Adobe и Microsoft
По сообщению компании ESET, ее специалисты обнаружили две ранее неизвестные уязвимости в Adobe Reader и Microsoft Windows. Эксплойты, использующие «двойную уязвимость», были внедрены во вредоносный PDF-файл.
В конце марта 2018 г. внимание специалистов ESET привлек необычный PDF-файл, загруженный в публичный сервис для сканирования вредоносных программ. Изучив его, эксперты установили, что в образце используются две бреши 0-day: уязвимость удаленного выполнения кода в Adobe Reader и уязвимость повышения привилегий в Microsoft Windows. Сочетание таких уязвимостей весьма опасно, поскольку позволяет злоумышленникам выполнять произвольный код на компьютере жертвы с максимальными привилегиями и минимальным необходимым участием пользователя.
Файлы в формате PDF нередко используют для распространения вредоносного ПО. Чтобы выполнить вредоносный код на компьютере жертвы, атакующие используют уязвимости в программах для просмотра PDF, в частности Adobe Reader. Но в Adobe Reader внедрена технология защиты от вредоносного кода (песочница) – Protected Mode, усложняющая задачу злоумышленников. Чтобы обойти защиту, атакующие обычно используют уязвимости в самой ОС.
В данном случае злоумышленники нашли уязвимости и написали эксплойты как для Adobe Reader, так и для ОС Windows – это сравнительно редкий случай, указывающий на высокую квалификацию авторов. Чтобы сработала «двойная уязвимость», пользователю достаточно открыть вредоносный PDF-файл на компьютере с уязвимой версией Adobe Reader и ОС.
Образец PDF, обнаруженный специалистами ESET, не содержал финальной полезной нагрузки – вредоносной программы, установка которой является целью атаки. Вероятно, экспертам удалось найти образец на ранних этапах разработки. Компания связалась с Adobe и Microsoft для закрытия уязвимостей.