Menu

В Adobe PDF виявлені нові уразливості Zero-day

Корпорація Symantec повідомляє про виявлення інтернет-активності, що експлуатує нові уразливості нульового дня (CVE-2013-0640, CVE-2013-0641) в продуктах Adobe Reader і Adobe Acrobat XI і більш ранніх версій.

В Adobe PDF обнаружены новые уязвимости Zero-day
Атака за допомогою CVE-2013-0640 Компанія Adobe поки не випустила виправлення за цим вразливостей, але опублікувала рекомендації із протидії експлуатують їх атак. Рішення для захисту від вірусів на рівні поштових серверів Symantec Mail Security забезпечує захист від цих атак, запобігаючи завантаження шкідливих PDF-файлів.

Спочатку інтернет-спільнота спиралося на звіт про нову 0-day уразливості, опублікований компанією FireEye. У ньому повідомлялося, що в результаті її успішної експлуатації на комп'ютер були завантажені кілька файлів. Аналіз експертів Symantec підтверджує таку можливість.

Атака відбувається наступним чином:

  • Шкідливий PDF-файл встановлює DLL-бібліотеку під назвою D.T;
  • D.T декодує і встановлює DLL-бібліотеку під назвою L2P.T;
  • L2P.T створює в реєстрі ключі автозапуску і завантажує на комп'ютер бібліотеку-завантажувач LangBar32.dll;
  • LangBar32.dll з сервера зловмисників викачує додаткове шкідливе пз з бекдор - і кейлоггер-функціоналом.
  • На цих етапах атаки продукти Symantec ідентифікують шкідливі програми як Trojan.Pidief і Trojan.Swaylib (спочатку - як Trojan Horse). Крім цього, з метою виявлення даного експлойта було випущено додаткове визначення (сигнатура) для системи запобігання вторгнень (IPS) Web Attack: Malicious PDF File Download 5.

    Подальше дослідження показало, що PDF-файл, застосований в атаці, нейтралізується продуктом Symantec Mail Security, а використовувані в ході атаки PDF файли ідентифікуються хмарні технологіями детектування Symantec як WS.Malware.2.

    |