No final de março, pesquisadores da ESET encontraram um arquivo PDF malicioso no VirusTotal, que eles compartilharam com a equipe de segurança da Microsoft "como um potencial de exploração para uma vulnerabilidade desconhecida do kernel do Windows".
Depois de analisar o arquivo PDF mal-intencionado, a equipe da Microsoft descobriu que o mesmo arquivo inclui duas explorações diferentes do dia-zero - uma para o Adobe Acrobat e o Reader e outra para o Microsoft Windows.
Como os patches para ambas as vulnerabilidades foram liberados na segunda semana de maio, a Microsoft divulgou detalhes das duas vulnerabilidades hoje, depois de dar aos usuários tempo suficiente para atualizar seus sistemas operacionais vulneráveis e o software da Adobe.
De acordo com os pesquisadores, o PDF mal-intencionado, incluindo o exploit de zero dias, estava no estágio inicial de desenvolvimento, "dado o fato de que o PDF em si não entregava uma carga maliciosa e parecia ser um código de prova de conceito (PoC). "
Parece que alguém que poderia ter combinado ambos os dias-zero para construir uma arma cibernética extremamente poderosa, inadvertidamente e por engano, perdeu o jogo fazendo o upload de seu exploit sub-desenvolvimento para o VirusTotal.
As vulnerabilidades de dia zero em questão são uma falha de execução remota de código no Adobe Acrobat and Reader (CVE-2018-4990) e um erro de escalonamento de privilégios no Microsoft Windows (CVE-2018-8120).
"O primeiro exploit ataca o mecanismo Adobe JavaScript para executar o shellcode no contexto desse módulo", diz Matt Oh, engenheiro de segurança do Windows Defender ATP Research.
"O segundo exploit, que não afeta plataformas modernas como o Windows 10, permite que o shellcode escape do sandbox do Adobe Reader e seja executado com privilégios elevados da memória do kernel do Windows."A exploração do Adobe Acrobat e do Reader foi incorporada em um documento PDF como uma imagem JPEG 2000 criada com códigos maliciosos, contendo o código de exploração do JavaScript, que aciona uma vulnerabilidade dupla-livre no software para executar o shellcode.
Aproveitando a execução do shellcode desde a primeira vulnerabilidade, o invasor usa a segunda exploração do kernel do Windows para quebrar o sandbox do Adobe Reader e executá-lo com privilégios elevados.
Como essa amostra de PDF mal-intencionada estava em desenvolvimento no momento da detecção, aparentemente incluía uma carga de PoC simples que descartava um arquivo vbs vazio na pasta Inicializar.
"Inicialmente, os pesquisadores da ESET descobriram a amostra em PDF quando ela foi carregada em um repositório público de amostras maliciosas", concluíram os pesquisadores da ESET.
"A amostra não contém uma carga útil final, o que pode sugerir que ela tenha sido detectada durante os estágios iniciais de desenvolvimento. Mesmo que a amostra não contenha uma carga final maliciosa real, o (s) autor (es) demonstraram um alto nível de habilidades na descoberta de vulnerabilidades. e explorar a escrita ".A Microsoft e a Adobe lançaram atualizações de segurança correspondentes para ambas as vulnerabilidades em maio. Para obter mais detalhes técnicos sobre as explorações, você pode acessar os blogs da Microsoft e da ESET .
FONTE:THEHACKERNEWS
Comentários
Postar um comentário