سوءاستفاده يک فايل PDF مخرب از دو آسيب‌پذيری روز صفرم

چهارشنبه ۰۲ خرداد ۱۳۹۷
محققان ESET فایل PDF مخربی کشف کرده‌اند که از دو آسیب‌پذیری روزصفرم سوءاستفاده می‌کند
مرکز آپا شریف
SUT-APA-LOGO

محققان ESET فایل PDF مخربی کشف کرده‌اند که از دو آسیب‌پذیری روزصفرم سوءاستفاده می‌کند. این دو آسیب‌پذیری Adobe Reader و ویندوز مایکروسافت را تحت‌تأثیر قرار می‌دهند.
این سند مخرب از نقص ارتقای امتیاز در ویندوز (CVE-2018-8120) و آسیب‌پذیری اجرای کد راه دور (CVE-2018-4990) در Adobe Reader بهره می‌برد. CVE-2018-8120 یکی از دو آسیب‌پذیری روز صفرم است که در وصله‌ی ماه می سال 2018 مایکروسافت رفع شد. CVE-2018-4990 در 14 می توسط Adobe با انتشار به‌روزرسانی که 50 مشکل دیگر را نیز رفع می‌کرد، برطرف شد.
با ترکیب این دو نقص، مهاجمان می‌توانند کد دلخواه را با امتیاز ارتقا‌ءیافته با حداقل تعامل کاربری اجرا کنند و فایل مخرب را باز کنند.
برای اینکه مهاجمان سخت‌تر بتوانند کد دلخواه را در سیستمی که دارای نرم‌افزار Reader است، اجرا کنند، Adobe یک جعبه‌شنی پیاده‌سازی کرده است. سوءاستفاده از CVE-2018-4990 تنها اجازه‌ی اجرای کد دلخواه در جعبه‌شنی را می‌دهد؛ اما ترکیب آن با نقص ارتقاء امتیاز ویندوز، امکان فرار از جعبه‌شنی و اجرای کد در حالت هسته را فراهم می‌آورد.
شایان ذکر است که آسیب‌پذیری CVE-2018-8120 تنها بر Windows 7 و Windows Server 2008 اثر می‌گذارد؛ نسخه‌های جدیدتر این سیستم‌عامل دارای ویژگی‌های امنیتی هستند که از حملات جلوگیری می‌کنند.
ESET فایل PDF مخرب را در یک مخزن بدافزاری عمومی (به احتمال زیاد VirusTotal) کشف کرد. این شرکت اطلاعاتی در مورد اینکه چه کسی این نقص‌ها را کشف کرده است و مهاجمان چه کسانی را هدف حمله قرار می‌دهند به اشتراک نگذاشته است.
تا تاریخ 18می، 18 موتور آنتی‌ویروس از 59 موتور آنتی‌ویروس VirusTotal، فایل‌های کشف‌شده توسط ESET را به عنوان یک تروجان عمومی یا سوءاستفاده، تشخیص دادند.
استفاده از دو سوءاستفاده‌ی روز صفرم در یک فایل منفرد مسئله‌ی غیرمعمولی نیست. سال گذشته، عامل تهدید روسی با نام APT28، Pawn Storm، Fancy Bear، Sofacy، Sednit و Strontium از یک نقص Office RCE (CVE-2017-0262) و یک ارتقاء امتیاز ویندوز (CVE-2017-0263) برای ارائه‌ی بدافزار استفاده کردند.