В Adobe Reader и Acrobat вновь обнаружена критическая уязвимость

В Adobe Reader и Acrobat вновь обнаружена критическая уязвимость

Компания Adobe Systems сегодня подтвердила наличие открытой уязвимости "нулевого дня" в программном обеспечении Adobe Reader. Баг уже взят на вооружение интернет-преступниками. В заявлении Adobe говорится, что компания выпустит исправление для Windows-версии Reader и Acrobat 9 не позднее конца будущей недели.



Напомним, что во вторник 12 декабря корпорация Microsoft также проведет ежемесячный выпуск исправлений для своих продуктов.

Согласно описанию Adobe, критически опасная уязвимость была найдена в Adobe Reader X 10.1.1 и более ранних версиях для Windows и Mac, а также в Adobe Reader 9.6 для всех поддерживаемых ОС (Unix, Windows, Mac). Уязвимость позволяет провести переполнение системного буфера и потенциально получить контроль над системой, захватив пользовательские файлы.

Пока компания опубликовала бюллетень по безопасности, касающийся найденного бага. В бюллетене сказано, что на сегодняшний день использование уязвимости носит очень ограниченный и целенаправленный характер. Большинство попыток нападения зарегистрировано на Reader 9.6 под Windows.

Сама компания идентифицирует баг как "U3D memory corruption vulnerability". U3D представляет собой технологию Universal 3D и файловый формат для хранения трехмерных графических данных. Уязвимость исходит из того, что хакеры создают специальный вредоносный U3D-контент, исполнение которого в системе вызывает переполнение буфера.

Отметим, что первыми об обнаружении уязвимостей заявили технические специалисты американских компаний Lockheed Martin и MITRE, где U3D применяется для трехмерного моделирования и хранения данных. В Lockheed говорят, что обнаружили уязвимость, работая над данными для истребителя F-22 Raptor и F-35 Lightning II. В MITRE - когда работали с данными Федерального управления авиации США. Напомним, что ранее Lockheed уже сообщала, что в мае этого года стала жертвой сложной хакерской атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru