Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Atak zero-day na Adobe Reader - przy pomocy skradzionego certyfikatu

Roel Schouwenberg
Kaspersky Lab Expert
Dodany 9 września 2010, 09:29 CEST
Tagi:

Wczoraj Adobe opublikował porady dotyczące nieznanej wcześniej luki zero-day w oprogramowaniu PDF Reader/Acrobat. Luka ta jest aktywnie wykorzystywana na wolności.

Jest to dość prosty exploit. Jedyną ciekawostką jest to, że wykorzystuje Return Oriented Programming (ROP) w celu obejścia technologii ASLR i DEP w systemie Windows Vista oraz 7.

Już od jakiegoś czasu spodziewałem się, że ROP będzie wykorzystywany w exploitach na większą skalę. Dlaczego? Ponieważ Windows 7 zyskuje coraz większą popularność zarówno wśród klientów indywidualnych jak i korporacyjnych.

O ile większość zainfekowanych PDF-ów pobiera szkodliwe funkcje, w tym przypadku szkodliwa zawartość jest osadzona w PDF-ie. PDF umieszcza plik wykonywalny w folderze %temp% i próbuje go wykonać.

Plik ten jest podpisany cyfrowo ważnym podpisem amerykańskiej firmy Credit Union!

Gdy przyjrzeć się bliżej poniższym zrzutom ekranu, można zobaczyć, że nie tylko certyfikat jest ważny, ale należy do Vantage Credit Union. To oznacza, że certyfikat musiał wpaść w ręce cyberprzestępców. Brzmi znajomo? Jeżeli pomyśleliście o incydencie Stuxnet (w którym do podpisu plików zostały wykorzystane certyfikaty Realtek i JMicron), to myślimy o tym samym.

Ciekawe, czy Stuxnet zapoczątkował nowy trend, czy jest to czysty przypadek. Przypuszczam, że to coś więcej niż przypadek. Według mnie, wykorzystywanie ważnych, skradzionych certyfikatów do podpisywania szkodliwego oprogramowania stanie się powszechne w 2011 roku.

Zarówno Verisign jak i Vantage Credit Union zostały poinformowane o sprawie i mogą podjąć odpowiednie działania.