शोधकर्ता: शून्य-दिन पीडीएफ शोषण एडोब रीडर 11 को प्रभावित करता है, पिछले संस्करण

सुरक्षा फर्म फायरएई के शोधकर्ता दावा करते हैं कि हमलावर सक्रिय रूप से रिमोट कोड निष्पादन शोषण का उपयोग कर रहे हैं जो Adobe Reader के नवीनतम संस्करणों के विरुद्ध काम करता है 9, 10 और 11.

"आज, हमने पहचाना है कि जंगली में एक पीडीएफ शून्य-दिन [भेद्यता] का शोषण किया जा रहा है, और हमने नवीनतम एडोब पीडीएफ रीडर 9.5.3, 10.1.5, और सफल शोषण पर देखा। 11.0.1, "फायरएई शोधकर्ताओं ने देर से मंगलवार को एक ब्लॉग पोस्ट में कहा।

शोषण प्रणाली पर दो डीएलएल फाइलों को छोड़ देता है और लोड करता है। एक फ़ाइल एक फर्जी त्रुटि संदेश प्रदर्शित करती है और एक पीडीएफ दस्तावेज खोलती है जिसे डेको के रूप में उपयोग किया जाता है, फायरएई शोधकर्ताओं ने कहा।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

रिमोट कोड निष्पादन नियमित रूप से लक्षित होता है क्रैश करने के लिए कार्यक्रम। इस संदर्भ में, नकली त्रुटि संदेश और दूसरा दस्तावेज़ सबसे अधिक संभावना उपयोगकर्ताओं को यह विश्वास करने के लिए उपयोग किया जाता है कि दुर्घटना एक साधारण खराब होने का परिणाम था और कार्यक्रम सफलतापूर्वक पुनर्प्राप्त हुआ।

इस बीच, दूसरा डीएलएल एक दुर्भावनापूर्ण घटक स्थापित करता है जो कॉल करता है रिमोट डोमेन पर वापस, फायरएई शोधकर्ताओं ने कहा।

यह स्पष्ट नहीं है कि पीडीएफ शोषण पहली जगह में ईमेल के माध्यम से या वेब पर कैसे पहुंचाया जा रहा है- या इसका उपयोग करके हमलों के लक्ष्य कौन थे। फायरएई ने बुधवार को भेजे गए अतिरिक्त जानकारी के अनुरोध के तुरंत जवाब नहीं दिया।

"हमने पहले ही एडोब सुरक्षा टीम को नमूना जमा कर दिया है," फायरएई शोधकर्ताओं ने ब्लॉग पोस्ट में कहा। "इससे पहले कि हम एडोब से पुष्टि प्राप्त करें और एक शमन योजना उपलब्ध है, हम सुझाव देते हैं कि आप किसी भी अज्ञात पीडीएफ फाइलें नहीं खोलें।"

एडोब प्रोडक्ट सिक्योरिटी इंकेंटेंट रिस्पांस टीम (पीएसआईआरटी) ने एक ब्लॉग पोस्ट में मंगलवार को पुष्टि की कि वह जांच कर रहा है एडोब रीडर और एक्रोबैट इलेवन (11.0.1) में एक भेद्यता की रिपोर्ट और पुराने संस्करण जंगली में शोषण कर रहे हैं। टीम ने कहा कि ग्राहकों के लिए जोखिम का आकलन किया जा रहा है।

बुधवार को भेजे गए स्टेटस अपडेट के अनुरोध के जवाब में, कॉर्पोरेट संचार के एडोब के वरिष्ठ प्रबंधक हीदर एडेल ने कहा कि कंपनी अभी भी जांच कर रही है।

सैंडबॉक्सिंग एक विरोधी शोषण तकनीक जो प्रोग्राम के कोड में पारंपरिक रिमोट कोड निष्पादन भेद्यता का शोषण करने के बाद भी हमलावरों को अंतर्निहित प्रणाली पर दुर्भावनापूर्ण कोड लिखने और निष्पादित करने से रोकने के लिए सख्ती से नियंत्रित वातावरण में एक कार्यक्रम के संवेदनशील संचालन को अलग करती है।

एक सफल एक सैंडबॉक्स प्रोग्राम के खिलाफ शोषण को कई भेद्यता का लाभ उठाना होगा, जिसमें एक ऐसा शामिल है जो शोषण को सैंडबॉक्स से बचने की अनुमति देता है। इस तरह के सैंडबॉक्स बाईपास भेद्यता दुर्लभ हैं, क्योंकि कोड जो वास्तविक सैंडबॉक्स लागू करता है, आमतौर पर सावधानी से समीक्षा की जाती है और कार्यक्रम के समग्र कोडबेस की तुलना में लंबाई में काफी छोटी होती है जिसमें कमजोरियां हो सकती हैं।

एडोब ने संरक्षित नामक लेखन कार्यों को अलग करने के लिए एक सैंडबॉक्स तंत्र जोड़ा एडोब रीडर 10 में मोड। सैंडबॉक्स को रीड-ओनली ऑपरेशंस के साथ-साथ एडोब रीडर 11 में संरक्षित दृश्य नामक दूसरी तंत्र के माध्यम से आगे बढ़ाया गया था।

नवंबर में वापस, रूसी सुरक्षा फर्म ग्रुप-आईबी के सुरक्षा शोधकर्ताओं ने बताया कि एडोब रीडर 10 और 11 के लिए एक शोषण साइबर अपराधियों पर $ 30,000 और $ 50,000 के बीच बेचा जा रहा था। उस समय एडोब द्वारा शोषण के अस्तित्व की पुष्टि नहीं हुई थी।

"सैंडबॉक्स की शुरूआत से पहले, एडोब रीडर साइबर अपराधियों द्वारा सबसे लक्षित तृतीय-पक्ष अनुप्रयोगों में से एक था," एंटीवायरस में एक वरिष्ठ ई-धमकी विश्लेषक बोगदान बोटेजातु बुधवार को ईमेल के माध्यम से विक्रेता बिटक डिफेंडर ने कहा। "अगर इसकी पुष्टि हुई है, तो सैंडबॉक्स में एक छेद की खोज महत्वपूर्ण महत्व होगी और साइबर अपराधियों द्वारा निश्चित रूप से बड़े पैमाने पर शोषण किया जाएगा।"

बोटेजातु का मानना ​​है कि एडोब रीडर सैंडबॉक्स को छोड़ना एक कठिन काम है, लेकिन उम्मीद है कि यह किसी बिंदु पर होने की उम्मीद है क्योंकि बड़ी संख्या में एडोब रीडर इंस्टॉलेशन से उत्पाद साइबर अपराधियों के लिए एक आकर्षक लक्ष्य बनाता है। उन्होंने कहा, "कोई फर्क नहीं पड़ता कि कंपनियां परीक्षण में कितनी निवेश करती हैं, फिर भी वे यह सुनिश्चित नहीं कर सकते कि उत्पादन मशीनों पर तैनात होने पर उनके आवेदन बग मुक्त हैं।"

दुर्भाग्य से एडोब रीडर उपयोगकर्ताओं के पास खुद को बचाने के लिए कई विकल्प नहीं हैं बोटेजातु ने कहा कि शोषण को छोड़कर सैंडबॉक्स वास्तव में मौजूद है, इस बात के बारे में बेहद सावधान रहने के अलावा कि वे कौन सी फाइलें और लिंक खोलते हैं। उन्होंने कहा कि जैसे ही पैच उपलब्ध हो जाता है, उपयोगकर्ताओं को अपने इंस्टॉलेशन को अपडेट करना चाहिए।