Rambler's Top100
 
Все новости Новости отрасли

Новые Zero-day уязвимости Adobe PDF

19 февраля 2013

Хакеры продолжают эксплуатировать уязвимости нулевого дня в атаках Trojan.Pidief и Trojan.Swaylib.

Корпорация Symantec сообщает об обнаружении интернет-активности, эксплуатирующей новые уязвимости нулевого дня (CVE-2013-0640, CVE-2013-0641) в продуктах Adobe Reader и Adobe Acrobat XI и более ранних версий. Компания Adobe пока не выпустила исправления по этим уязвимостям (в сообщении Adobe говорится, что это будет сделано на текущей неделе), но опубликовала рекомендации по противодействию эксплуатирующим их атакам, в которых рекомендует пользователям пользоваться обновленными версиями антивирусного ПО и не открывать файлы от неизвестных адресатов.

Изначально интернет-сообщество опиралось на отчёт о новой 0-day уязвимости, опубликованный компанией FireEye. В нём сообщалось, что в результате её успешной эксплуатации на компьютер были загружены несколько файлов. Анализ экспертов Symantec подтверждает такую возможность.

 Атака проходит следующим образом:

  • Вредоносный PDF-файл устанавливает DLL-библиотеку под названием D.T;
  • D.T декодирует и устанавливает DLL-библиотеку под названием L2P.T;
  • L2P.T создает в реестре ключи автозапуска и загружает на компьютер библиотеку-загрузчик LangBar32.dll;
  • LangBar32.dll с сервера злоумышленников скачивает дополнительное вредоносное ПО с бэкдор- и кейлоггер-функционалом.

На этих этапах атаки продукты Symantec идентифицируют вредоносные программы как Trojan.Pidief и Trojan.Swaylib (изначально − как Trojan Horse). Помимо этого, с целью выявления данного эксплойта было выпущено дополнительное определение (сигнатура) для системы предотвращения вторжений (IPS) Web Attack: Malicious PDF File Download 5.

Дальнейшее исследование показало, что PDF-файл, примененный в атаке, нейтрализуется продуктом Symantec Mail Security, а используемые в ходе атаки PDF-файлы идентифицируются облачными технологиями детектирования Symantec как WS.Malware.2.

Специалисты Symantec продолжают изучать данную уязвимость и возможности блокирования данного канала для проведения атак. В целях обеспечения максимальной защиты от потенциальных атак нулевого дня эксперты настоятельно рекомендуют использовать последние разработки подразделения Security Technology and Response  компании Symantec.

 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.