Обнаружены попытки эксплуатации уязвимости в Adobe Reader

image

Теги: Adobe, уязвимость

Злоумышленники используют уязвимость в Adobe Reader для получения неавторизованного доступа к уязвимым системам.

SANS сообщила в своем блоге об обнаружении злонамеренного ПО, эксплуатирующего недавно исправленную уязвимость в Adobe Reader .

Образцы злонамеренного кода, полученные SANS, эксплуатируют уязвимость форматной строки в JavaScript функции "util.printf()". Удаленный атакующий может с помощью специально сформированного PDF файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

Рабочий эксплоит практически не отличается от PoC кода , предоставленного компанией CORE. В эксплоите используется только первый уровень обфускации с помощью eval(unescape()).

Таким образом, вместо:

 var num = 1299999999999999999…
 util.printf("%45000f",num);
 

используется несколько циклов:

 var nm = 12;
 for(i = 0; i < 18; i++){ nm = nm + "9"; }
 for(i = 0; i < 276; i++){ nm = nm + "8"; }
 util.printf(unescape(""+"%"+"25%34%35%30%30%30%66"),  nm); 
 

Судя по всему, первый уровень обфускации был сделан для того, чтобы обойти обнаружение антивирусным ПО. К сожалению, злоумышленники добились в этом успеха. На момент написания новости, по данным VirusTotal, ни один антивирус не считает представленный образец опасным.

SecurityLab рекомендует всем пользователям, использующим Adobe Acrobat или Adobe Reader версий 8.1.2 и ниже, в кратчайшие сроки установить исправление от производителя.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus