Un cercetător în securitate cibernetică îndeamnă utilizatorii să-și actualizeze Adobe Acrobat Reader după ce a fost lansată o soluție ieri pentru un zero-day de execuție de cod la distanță cu un exploit public proof-of-concept în sălbăticie.
Defectul este urmărit ca CVE-2024-41869 și este o vulnerabilitate critică de utilizare după eliberare care ar putea duce la execuția de cod la distanță atunci când se deschide un document PDF special conceput.
O eroare „de utilizare după eliberare” apare atunci când un program încearcă să acceseze date într-o locație de memorie care a fost deja eliberată. Acest lucru cauzează comportamente neașteptate, cum ar fi blocarea sau înghețarea programului.
Cu toate acestea, dacă un actor de amenințare este capabil să stocheze coduri maligne în acea locație de memorie și programul accesează ulterior acea locație, acesta ar putea fi utilizat pentru a executa cod rău intenționat pe dispozitivul vizat.
Defectul a fost acum remediat în cele mai recente versiuni Acrobat Reader și Adobe Acrobat.
Zero-day-ul din Acrobat Reader a fost descoperit în iunie prin EXPMON, o platformă bazată pe sandbox creată de cercetătorul în securitate cibernetică Haifei Li pentru a detecta exploatări avansate precum zero-day-uri sau exploatări greu de detectat (necunoscute).
„Am creat EXPMON deoarece am observat că nu existau sisteme de detectare și analiză bazate pe sandbox care să se concentreze în mod specific pe detectarea amenințărilor dintr-o perspectivă de exploatare sau vulnerabilitate”, a declarat Li pentru BleepingComputer.
„Toate celelalte sisteme fac detectarea dintr-o perspectivă de malware. Perspectiva de exploatare/vulnerabilitate este foarte necesară dacă doriți să mergeți mai avansat (sau, la început) în detectare.”
„De exemplu, dacă nu este aruncat sau executat niciun malware din cauza anumitor condiții, sau dacă atacul nu folosește deloc malware, acele sisteme ar trece cu vederea astfel de amenințări. Exploatarea operează într-un mod destul de diferit față de malware, astfel că este necesar un abordare diferită pentru a le detecta.”
Zero-day-ul a fost descoperit după ce un număr mare de mostre dintr-o sursă publică au fost trimise la EXPMON pentru analiză. Aceste mostre includeau un PDF malițios care conținea un exploit proof-of-concept care a provocat o blocare.
Deși exploit-ul proof-of-concept este în curs de dezvoltare și nu conține sarcini maligne, s-a confirmat că exploatează o eroare „de utilizare după eliberare”, care ar putea fi folosită pentru execuție de cod la distanță.
După ce Li a dezvăluit defectul către Adobe, a fost lansată o actualizare de securitate în august. Cu toate acestea, actualizarea nu a rezolvat defectul și putea fi declanșată încă după închiderea diverselor dialoguri.
„Am testat proba (exact aceeași) pe versiunea „corectată” a Adobe Reader, a afișat dialoguri suplimentare, dar dacă utilizatorul a făcut clic/a închis acele dialoguri, aplicația tot s-a blocat! Aceeași eroare UAF!”, a tweetuit contul EXPMON X.
Ieri, Adobe a lansat o nouă actualizare de securitate care rezolvă defectul, acum urmărit ca CVE-2024-41869.
Li va lansa detalii despre cum a fost detectat defectul pe blogul EXPMON și informații tehnice suplimentare într-un raport viitor Check Point Research.
Progres critic: Defectul RCE WhatsUp acum sub exploatare activă
Martea de Patch-uri din septembrie 2024 de la Microsoft rezolvă 4 zero-day-uri, 79 defecte
Hackerii nord-coreeni exploatează zero-day-ul Chrome pentru a implementa un rootkit
Hackerii APT29 ruși folosesc exploatări iOS, Chrome create de furnizorii de spyware
Hackerii sud-coreeni au exploatat zero-day-ul WPS Office pentru a implementa malware
Leave a Reply