Video: Extracting a Windows Zero-Day from an Adobe Reader Zero-Day PDF (Settembre 2024)
Adobe ha promesso una soluzione per la vulnerabilità critica zero-day attualmente sfruttata in natura che sarà disponibile questa settimana.
Gli aggiornamenti per le versioni Windows e Mac OS X di Adobe Reader e Acrobat XI (11.0.01 e precedenti), X (10.1.5 e precedenti) e 9.x (9.5.3 e precedenti) saranno disponibili durante la settimana di febbraio 18, ha detto Adobe nel suo avviso di sicurezza pubblicato sabato sera tardi. Saranno disponibili anche aggiornamenti per Reader 9.5.3 e precedenti per Linux, ha affermato la società. Le nuove versioni chiuderanno due vulnerabilità di corruzione della memoria critica attualmente sfruttate in natura.
La società di sicurezza FireEye ha scoperto documenti PDF intrappolati tra le bocche incorporati con JavaScript altamente offuscato e inviati come allegati di posta elettronica all'inizio di questo mese. Quando la vittima apre il documento PDF, il malware scarica due file DLL. Uno mostra un falso messaggio di errore e apre un documento PDF pulito, mentre l'altro rilascia un componente "callback" che comunica con un server remoto, ha detto FireEye.
"Adobe è a conoscenza del fatto che queste vulnerabilità vengono sfruttate allo stato selvatico in attacchi mirati progettati per indurre gli utenti di Windows a fare clic su un file PDF dannoso consegnato in un messaggio di posta elettronica", ha dichiarato la società la scorsa settimana.
La tecnologia sandbox che Adobe ha introdotto in Reader X più di due anni fa è stata progettata in modo tale che anche se gli aggressori sfruttassero un bug nel software, il codice maligno non sarebbe in grado di accedere ad altre parti del computer. Quest'ultimo attacco è il primo ad aggirare con successo quella difesa.
Il fatto che gli aggressori siano riusciti a uscire dalla sandbox è un "promemoria che i truffatori non si arrendono semplicemente quando alzi il tiro", ha scritto Paul Ducklin di Sophos su Naked Security.
Attiva "Vista protetta"
Il nuovo Reader XI ha una funzione che blocca l'attacco, ma non è abilitato per impostazione predefinita.
Mercoledì scorso, Adobe ha invitato gli utenti ad attivare "Visualizzazione protetta" in Reader per impedire l'attacco corrente. Gli amministratori possono abilitare contemporaneamente Visualizzazione protetta per tutti i computer Windows all'interno dell'organizzazione oppure gli utenti possono attivare manualmente l'impostazione per i propri computer.
Per attivare "Visualizzazione protetta", seleziona Modifica> Preferenze> Sicurezza (avanzata) e quindi seleziona la casella di controllo accanto a "File da posizioni potenzialmente non sicure". Puoi anche selezionare l'opzione "Tutti i file".
La vista protetta è diversa dalla modalità protetta, la tecnologia sandbox integrata. La modalità protetta limita il codice dannoso che può eseguire o accedere al computer. La nuova vista protetta, introdotta in Reader XI, offre un livello desktop separato e può bloccare attacchi come lo scraping dello schermo, secondo Adobe. In questo ambiente altamente limitato, molte delle funzionalità di Reader sono disabilitate.
Per stare al sicuro...
È importante fare molta attenzione all'apertura degli allegati e-mail. Se non hai motivi validi per ricevere allegati da persone che non conosci, non aprire allegati da estranei. Non importa quanto pensi sia interessante l'argomento.
Gli aggressori si prendono il tempo di creare e-mail e allegati dannosi che si abbinano al lavoro (forse si mascherano come un invito alla conferenza o un articolo su qualcosa che sta accadendo nel settore) o con i tuoi interessi. Anche così, "un allegato inviato in un attacco mirato di solito è indesiderato o inaspettato. In caso di dubbio, lascialo fuori!" Disse Ducklin.
Se qualcuno che conosci invia un allegato, assicurati che sia qualcosa che ti aspetti. Invia una nota o fai una telefonata per verificare che il mittente l'abbia effettivamente inviata. Un'oncia di prevenzione e tutto il resto.
Attiva Visualizzazione protetta se stai utilizzando Reader o Acrobat XI. Se non stai utilizzando la versione più recente, considera di dedicare del tempo all'aggiornamento in modo da poter sfruttare le nuove funzionalità di sicurezza. Quando Adobe rilascia la versione successiva, aggiorna immediatamente.
Se vuoi passare all'utilizzo di applicazioni alternative, anche questa è un'opzione. Mentre FoxIt Reader ha le proprie vulnerabilità di sicurezza, lo strumento non viene attaccato altrettanto frequentemente a causa della sua base di utenti relativamente piccola. Gli utenti di Mac OS X possono anche utilizzare l'applicazione Anteprima integrata nel sistema operativo.
