Одолел ли Adobe Reader X новый эксплойт?

В четверг, 3 февраля, произошло знаменательное событие: последний выпуск программного продукта Adobe Reader X успешно отразил атаку со стороны вредоносного PDF-файла, массово распространявшегося в мусорной корреспонденции. Однако ни антивирусные эксперты, ни специалисты Adobe до сих пор так и не могут точно определить, благодаря чему эксплойт потерпел поражение.



Первыми соответствующий вопрос подняли представители исследовательской лаборатории компании Invincea. Они подтвердили, что при открытии опасного объекта в Reader X эксплойт не сработал, однако в целом у них сложилось впечатление, будто пользователей спасло вовсе не новое средство защиты просмотрщика ("песочница"), а техническое несовершенство атакующего кода: вроде бы он был нацелен на поражение предыдущих версий Reader - 8 и 9.


Следом этим же вопросом задались специалисты Sophos, которые детально изучили как сам вредоносный PDF-файл, так и результаты его открытия в различных версиях Reader. По итогам исследования консультант Чет Висневски смог уверенно заявить, что эксплойт нацелен на уже закрытую уязвимость, существовавшую в прежних версиях просмотрщика, но, как и сотрудники Invincea, не сумел точно сказать, кого же следует благодарить за неэффективность атакующего кода в Reader X.


Следует пояснить, что не каждый вредоносный код является шедевром искусства программирования: некоторые образцы, например, работоспособны только при запуске на определенной версии операционной системы, а отдельные экземпляры аварийно завершают работу, столкнувшись с другой сборкой целевого приложения - даже если уязвимость, которую они эксплуатируют, все еще не закрыта в этой сборке.


В конечном счете г-н Висневски ограничился предположением, что с учетом тех вредоносных действий, которые злоумышленники намеревались совершить с помощью опасного объекта, технология виртуализации Adobe Reader X все-таки обеспечила бы защиту, будь эксплойт направлен именно против этой версии продукта. "Однако в любом случае это победа Adobe - ведь все-таки в отношении Reader X атакующий код оказался бессилен", - заключил эксперт.


После этого с Sophos связались специалисты самой Adobe, которые запросили подробную информацию о вредоносном файле и об уязвимости, для эксплуатации которой объект был создан. Они провели свое собственное внутреннее исследование, однако тоже не смогли однозначно подтвердить, что именно "песочница" остановила атаку. Представитель компании ограничилась комментарием:


"Исходя из описания эксплойта, и, в частности, из того факта, что он пытается загрузить и отправить на исполнение вредоносный код, мы можем заключить, что безопасная среда предотвратила бы успешное совершение этих действий - подобная активность входит в число блокируемых операций, - даже если бы целевая уязвимость присутствовала в коде Adobe Reader X".


Также пресс-секретарь подчеркнула, что с момента выхода десятой версии Reader сообщений о преодолении или обходе виртуализационной защиты просмотрщика ни разу не поступало.


В итоге вопрос так и остался открытым. Стоит, однако, заметить, что г-н Висневски охарактеризовал Reader X как "самую защищенную версию программы", а также призвал всех без исключения пользователей этого продукта обновиться до десятого выпуска и следить за выходом обновлений к нему.


Computerworld

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru