Одолел ли Adobe Reader X новый эксплойт?

В четверг, 3 февраля, произошло знаменательное событие: последний выпуск программного продукта Adobe Reader X успешно отразил атаку со стороны вредоносного PDF-файла, массово распространявшегося в мусорной корреспонденции. Однако ни антивирусные эксперты, ни специалисты Adobe до сих пор так и не могут точно определить, благодаря чему эксплойт потерпел поражение.



Первыми соответствующий вопрос подняли представители исследовательской лаборатории компании Invincea. Они подтвердили, что при открытии опасного объекта в Reader X эксплойт не сработал, однако в целом у них сложилось впечатление, будто пользователей спасло вовсе не новое средство защиты просмотрщика ("песочница"), а техническое несовершенство атакующего кода: вроде бы он был нацелен на поражение предыдущих версий Reader - 8 и 9.


Следом этим же вопросом задались специалисты Sophos, которые детально изучили как сам вредоносный PDF-файл, так и результаты его открытия в различных версиях Reader. По итогам исследования консультант Чет Висневски смог уверенно заявить, что эксплойт нацелен на уже закрытую уязвимость, существовавшую в прежних версиях просмотрщика, но, как и сотрудники Invincea, не сумел точно сказать, кого же следует благодарить за неэффективность атакующего кода в Reader X.


Следует пояснить, что не каждый вредоносный код является шедевром искусства программирования: некоторые образцы, например, работоспособны только при запуске на определенной версии операционной системы, а отдельные экземпляры аварийно завершают работу, столкнувшись с другой сборкой целевого приложения - даже если уязвимость, которую они эксплуатируют, все еще не закрыта в этой сборке.


В конечном счете г-н Висневски ограничился предположением, что с учетом тех вредоносных действий, которые злоумышленники намеревались совершить с помощью опасного объекта, технология виртуализации Adobe Reader X все-таки обеспечила бы защиту, будь эксплойт направлен именно против этой версии продукта. "Однако в любом случае это победа Adobe - ведь все-таки в отношении Reader X атакующий код оказался бессилен", - заключил эксперт.


После этого с Sophos связались специалисты самой Adobe, которые запросили подробную информацию о вредоносном файле и об уязвимости, для эксплуатации которой объект был создан. Они провели свое собственное внутреннее исследование, однако тоже не смогли однозначно подтвердить, что именно "песочница" остановила атаку. Представитель компании ограничилась комментарием:


"Исходя из описания эксплойта, и, в частности, из того факта, что он пытается загрузить и отправить на исполнение вредоносный код, мы можем заключить, что безопасная среда предотвратила бы успешное совершение этих действий - подобная активность входит в число блокируемых операций, - даже если бы целевая уязвимость присутствовала в коде Adobe Reader X".


Также пресс-секретарь подчеркнула, что с момента выхода десятой версии Reader сообщений о преодолении или обходе виртуализационной защиты просмотрщика ни разу не поступало.


В итоге вопрос так и остался открытым. Стоит, однако, заметить, что г-н Висневски охарактеризовал Reader X как "самую защищенную версию программы", а также призвал всех без исключения пользователей этого продукта обновиться до десятого выпуска и следить за выходом обновлений к нему.


Computerworld

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Любой сайт мог тайком использовать камеру и микрофон iPhone и MacBook

Пользователи устройств iPhone, MacBook и iMac подвергают риску свою конфиденциальность в процесс веб-сёрфинга. Не только вредоносные, но и вполне легитимные сайты могут скрытно использовать камеру, микрофон и службы геолокации.

Причина — связка уязвимостей, позволяющая с помощью браузера Safari получить доступ к аппаратным составляющим устройства.

Что касается изначально безобидных сайтов, на их страницах может размещаться реклама, эксплуатирующая серию брешей в устройствах Apple. Таким образом, у удалённого злоумышленника будет возможность тайком использовать камеру, микрофон и даже определить местоположение пользователя.

Известно, что Apple выплатила $75 тыс. этичному хакеру Райану Пикрену, который помог корпорации понять суть уязвимостей и даже продемонстрировал их эксплуатацию. Есть мнение, что злоумышленники не успели задействовать эти бреши в реальных атаках.

Разработчики Apple устранили все проблемы безопасности сразу двумя апдейтами. Первый был выпущен 28 января 2020 года (Safari 13.0.5), второй — 24 марта (Safari 13.1).

«Если владелец вредоносного сайта пожелал бы заполучить доступ к камере, ему бы пришлось замаскировать свой ресурс под один из популярных сервисов видеоконференции — Skype или Zoom», — объясняет Пикрен.

С помощью цепочки уязвимостей, на которую указал исследователь, вредоносный сайт мог замаскироваться под любой легитимный ресурс.

В общей сложности эксперт описал семь брешей, которым присвоили следующие идентификаторы: CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, CVE-2020-9787.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru