23:42 10.09.2010 Новые подробности о уязвимости в Adobe | |
Накануне, мы уже публиковали сообщение о выпущенном информационном бюллетене компанией Adobe, в котором сообщалось об обнаружении ранее
неизвестной уязвимости в программах Adobe Reader и Acrobat. Самое удручающее во всём этом, что в настоящее
время эта уязвимость активно используется киберпреступниками.
Эксплойт достаточно простой, а интересно в нем то, что он использует
технику ROP (Return Oriented Programming — возвратно-ориентированное
программирование) для обхода систем безопасности ASLR и DEP, встроенных в
операционные системы Windows Vista и Windows 7.
Более широкое применение ROP для эксплойтов — это то, чего аналитики ждут уже давно. Ждут потому, что Windows 7 получает все большее
распространение как среди отдельных пользователей, так и среди
организаций.
Как правило, большинство вредоносных PDF-файлов загружают вредоносный
код через интернет, однако в этом случае PDF-файл уже содержит
вредоносный контент. PDF распаковывает исполняемый файл в директорию
%temp% и пытается его исполнить.
Показанный файл имеет действующую цифровую подпись, принадлежащую одному из американских кредитных союзов!
Если вы посмотрите внимательно на скриншоты, то увидите, что сертификат не
просто действующий, он на самом деле принадлежит кредитному союзу
Vantage. Это значит, что злоумышленники каким-то образом смогли
заполучить сертификат этой организации.
Если вы вспомнить о троянце Stuxnet (который подписывал файлы
ворованными сертификатами Realtek и JMicron), то здесь мы видим примерно тоже самое. Интересно будет посмотреть, зародил ли Stuxnet новую тенденцию или
эти случайность, просто удачное совпадение. Все же вряд ли тут есть совпадение. Аналитики считают, что подписывание вредоносных программ ворованными действующими
сертификатами получит распространение в 2011 году. И Verisign, и Кредитный союз Vantage проинформированы о сложившейся ситуации и должны будут принять адекватные меры. | |
|
| |
| Всего комментариев: 0 | |