Обнаружены попытки эксплуатации уязвимости в Adobe Reader
Злоумышленники используют уязвимость в Adobe Reader для получения неавторизованного доступа к уязвимым системам.
SANS сообщила в своем блоге об обнаружении злонамеренного ПО, эксплуатирующего недавно исправленную уязвимость в Adobe Reader .
Образцы злонамеренного кода, полученные SANS, эксплуатируют уязвимость форматной строки в JavaScript функции "util.printf()". Удаленный атакующий может с помощью специально сформированного PDF файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.
Рабочий эксплоит практически не отличается от PoC кода , предоставленного компанией CORE. В эксплоите используется только первый уровень обфускации с помощью eval(unescape()).
Таким образом, вместо:
var num = 1299999999999999999…
util.printf("%45000f",num);
используется несколько циклов:
var nm = 12;
for(i = 0; i < 18; i++){ nm = nm + "9"; }
for(i = 0; i < 276; i++){ nm = nm + "8"; }
util.printf(unescape(""+"%"+"25%34%35%30%30%30%66"), nm);
Судя по всему, первый уровень обфускации был сделан для того, чтобы обойти обнаружение антивирусным ПО. К сожалению, злоумышленники добились в этом успеха. На момент написания новости, по данным VirusTotal, ни один антивирус не считает представленный образец опасным.
SecurityLab рекомендует всем пользователям, использующим Adobe Acrobat или Adobe Reader версий 8.1.2 и ниже, в кратчайшие сроки установить исправление от производителя.
Ваш мозг на 60% состоит из жира. Добавьте 40% науки!
Сбалансированная диета для серого вещества