Обнаружены попытки эксплуатации уязвимости в Adobe Reader

Обнаружены попытки эксплуатации уязвимости в Adobe Reader

Злоумышленники используют уязвимость в Adobe Reader для получения неавторизованного доступа к уязвимым системам.

SANS сообщила в своем блоге об обнаружении злонамеренного ПО, эксплуатирующего недавно исправленную уязвимость в Adobe Reader .

Образцы злонамеренного кода, полученные SANS, эксплуатируют уязвимость форматной строки в JavaScript функции "util.printf()". Удаленный атакующий может с помощью специально сформированного PDF файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

Рабочий эксплоит практически не отличается от PoC кода , предоставленного компанией CORE. В эксплоите используется только первый уровень обфускации с помощью eval(unescape()).

Таким образом, вместо:

  var num = 1299999999999999999…
  util.printf("%45000f",num);
  

используется несколько циклов:

  var nm = 12;
  for(i = 0; i < 18; i++){ nm = nm + "9"; }
  for(i = 0; i < 276; i++){ nm = nm + "8"; }
  util.printf(unescape(""+"%"+"25%34%35%30%30%30%66"),  nm); 
  

Судя по всему, первый уровень обфускации был сделан для того, чтобы обойти обнаружение антивирусным ПО. К сожалению, злоумышленники добились в этом успеха. На момент написания новости, по данным VirusTotal, ни один антивирус не считает представленный образец опасным.

SecurityLab рекомендует всем пользователям, использующим Adobe Acrobat или Adobe Reader версий 8.1.2 и ниже, в кратчайшие сроки установить исправление от производителя.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!