Как написали И Чон Лиин (Yichong Lin), Туфики Хак (Thoufique Haq) и
Джеймс Беннет (James Bennett) из компании FireEye в своем блоге,
обнаруженный эксплойт срабатывает сразу в нескольких свежих версиях
пакета Adobe PDF Reader, включая 9.5.3, 10.1.5 и 11.0.1. Эти версии были
выпущены в январе с целью исправить 27 критических уязвимостей. При
срабатывании эксплойт сбрасывает в память машины две динамических
библиотеки DLL. Первая DLL-библиотека отображает фальшивое сообщение об
ошибке и открывает документ-приманку, как обычно делается при целевых
атаках. В свою очередь, вторая DLL-библиотека помещает в память машины
еще один компонент, который уже связывается с удаленным сервером
управления.
Компания FireEye уже отправила образец эксплойта в
группу безопасности Adobe, а пока не вышли соответствующие исправления,
призывает не открывать никакие неизвестные файлы в формате PDF, либо
применять для просмотра альтернативные инструменты (FoxIT, Nitro,
Sumatra и т.д.). Компания Adobe подтвердила получение данных и ведет
работу над устранением проблемы. «Лаборатория Касперского» также изучила
найденные образцы и заявила, что это первый обнаруженный «на свободе»
эксплойт, способный выбраться за пределы «песочницы», реализованной в
Adobe Reader для
защиты от вредоносного контента.
Новая
атака на пакет Reader появилась всего через несколько дней после
обнаружения сразу двух атак на технологию Flash Player, из-за которых
компании Adobe пришлось выпустить внеочередное обновление. Одна из этих
атак была построены на встраивании файлов формата SWF Flash в документы
Microsoft Word. Другая атака была нацелена на машины Mac и использовала
вредоносные Flash-файлы, размещенные на вредоносной web-странице. Чтобы
исправить ситуацию, очередная версия Flash Player содержит функцию
«Click to Play» (Нажать, чтобы воспроизвести), которая блокирует
автоматическое воспроизведение Flash-контента при открытии документов в
пакете Office 2008 или более ранней версии. Также реализован
защищенный режим, уже доступный в Office 2010 — он требует явного согласия пользователя на запуск внедренного в документ Flash-файла.
Источник: soft.mail.ru