Exploit tem como alvo uma falha até então desconhecida do software de leitura da Adobe, dizem pesquisadores em segurança
Os cibercriminosos estão usando um novo exploit 0-day para PDF que ignora os recursos de segurança (sandbox) do Adobe Reader 10 e 11 - o objetivo seria instalar um malware bancário em computadores, de acordo com pesquisadores da empresa de segurança russa Grupo-IB.
O kit de exploração para a vulnerabilidade 0-day - até então desconhecida e sem correção - foi integrado a uma versão modificada do Blackhole, segundo informações divulgadas pelo Grupo-IB.
"Temos monitorado comunidades privadas especiais, onde há informações sobre o exploit", disse o chefe do Departamento de Projetos Internationais do Group-IB e diretor técnico da equipe de emergências de computador (CERT-GIB), Andrey Komarov, nesta quinta-feira por e-mail. "A maior parte destas informações estão em fóruns privados de hackers russos e chineses."
O kit de exploração está sendo vendido no mercado negro por um valor estimado de 30 mil a 50 mil dólares e atualmente ele está sendo usado em ataques direcionados contra clientes de bancos, disse Komarov. No entanto, teoricamente, poderia também ser usado para distribuir as chamadas Ameaças Persistentes Avançadas (APT) que estão comumente associadas a ataques de ciberespionagem, acrescentou.
SandboxO mais interessante neste ataque em particular é que ele burla os recursos de proteção da sandbox do Adobe Reader 10 e 11, também conhecido como o Modo Protegido (Protect Mode, em inglês) e Modo de Exibição Protegido (Protect View) - a sandbox conseguiu bloquear todos os kits de exploração que executam códigos arbitrários em PDF conhecidos até o momento.
Além disso, o novo exploit funciona mesmo se o suporte do JavaScript estiver desativado no Adobe Reader. A grande maioria dos kits conhecidos para Adobe Reader fazem uso do JavaScript para embutir códigos maliciosos em arquivos PDF, desse modo eles precisam de suporte Java no aplicativo para funcionar.
O novo exploit pode ser usado para direcionar o Adobe Reader por meio do Internet Explorer e do Mozilla Firefox, disse Komarov. No entanto, o ataque falha no Google Chrome porque o navegador oferece proteção adicional para o componente do Adobe Reader, completou.
O exploit é um pouco limitado, pois o usuário precisa fechar o navegador depois de carregar o arquivo PDF malicioso para que o código malicioso seja executado no computador. O Grupo-IB postou um vídeo no YouTube demonstrando como o ataque funciona no Internet Explorer.
Detalhes sobre o exploit foram compartilhados com equipe de Resposta a Incidentes de Segurança em Produtos da Adobe (PSIRT). A empresa não comentou sobre o caso.
No passado, a empresa adiou a liberação de patches para vulnerabilidades conhecidas no Adobe Reader 10, argumentando que a sandbox do produto iria bloquear quaisquer explorações provenientes dessas falhas. No entanto, se este novo kit contornou o sistema de segurança do aplicativo, é provável que a Adobe forneça uma atualização de emergência.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário