Nowa luka w Adobe: exploit jest, ale na patcha poczekamy

Poprawka, usuwająca wykrytą przed kilkoma dniami lukę "zero-day" w aplikacjach Adobe Acrobat oraz Reader, pojawi się najwcześniej 12 stycznia - zapowiedzieli przedstawiciele Adobe. To znaczy, że użytkownicy popularnego oprogramowania do tworzenia i przeglądania plików PDF jeszcze przez cztery tygodnie będą narażeni na ataki cyberprzestępców.

Adobe uaktualnił właśnie blog poświęcony bezpieczeństwu swoich produktów - firma zamieściła tam informację, że przewidywany termin udostępnienia poprawki na wykrytą właśnie lukę (pisaliśmy o niej w tekście "Adobe znów ma problem - luka "zero-day" w Acrobacie i Readerze") to 12 stycznia 2010 r.

Ten termin był do przewidzenia, ponieważ od pewnego czasu - wzorem Microsoftu - publikuje swoje poprawki w regularnych odstępach czasu. Producent Readera robi to co kwartał (Microsoft co miesiąc) - a poprzedni zestaw uaktualnień pojawił się w połowie października. Warto jednak odnotować, że w przypadku szczególnie niebezpiecznych luk Microsoft już kilka razy wyłamywał się ze sztywnego cyklu i publikował poprawki poza oficjalnym terminarzem - Adobe się na to nie zdecydował.

Zamiast tego firma wydała komunikat, w którym przedstawiła tymczasową metodę zabezpieczenia się przed atakiem (polega ona na selektywnym zablokowaniu uruchamiania skryptów JavaScript). Dodajmy, że zdaniem wielu specjalistów taka metoda nie jest wystarczająca - bo zabezpiecza ona użytkownika wyłączenie przed jednym, konkretnym exploitem, który jest już wykorzystywany do atakowania użytkowników. Eksperci sądzą, że lada chwila pojawią się jego nowe i udoskonalone wersje - a wtedy rozwiązanie sugerowane przez Adobe przestanie być skuteczne. Dlatego lepszym rozwiązaniem jest całkowite zablokowanie obsługi JavaScript w Acrobacie i Readerze lub po prostu... przesiadka na inne programy do obsługi PDF (przynajmniej do czasu pojawienia się skutecznej poprawki).

HD Moore, znany specjalista i twórca zestawu narzędzi do testów penetracyjnych Metasploit, mówi, że do tego pakietu został już włączony skuteczny exploit umożliwiający atakowanie komputera przez nową lukę w produktach Adobe (co ważne - błąd występuje nie tylko w wersji dla Windows, inne OS-y też potencjalnie narażone). "Udało nam się przygotować exploita szybciej, niż się spodziewałem. Jest już dostępny do pobrania, jako uaktualnienie dla Metasploit" - informuje Moore.

Exploit nie zawsze jest skuteczny - z pierwszych testów wynika, że ma problemy z działaniem w niektórych wersjach językowych Readera i Acrobata. Ale Moore zapowiada, że wkrótce ten problem zostanie rozwiązany.

Warto odnotować, że w ramach projektu Metasploit exploity są udostępniane za darmo (w przeciwieństwie innych narzędzi do testów penetracyjnych - np. CANVAS firmy Immunity). A to znaczy, że bez problemów mogą je pobierać zarówno specjaliści zajmujący się bezpieczeństwe, jak i przestępcy. "Pojawienie się exploita w Metasploit sprawiło, że wkrótce możemy spodziewać się wysypu ataków przeprowadzanych poprzez nowe luki. Praktyka pokazuje, że przestępcy chętnie korzystają z tego narzędzia" - komentuje Joshua Talbot, specalista z Symantec Security Response Team.

Moore twierdzi jednak, że to uaktualnienie dla Metasploit nie ma większego znaczenia dla cyberprzestępców, ponieważ luka jest znana od kilku dni i w Sieci pojawiają się już alternatywne exploity.

Talbot przyznaje, że błąd faktycznie jest już wykorzystywany przez przestępców - aczkolwiek na razie atakowana była stosunkowo niewielka grupa użytkowników (wysłano do nich pliki PDF mające jakoby zawierać artykuły z CNN - ich otwarcie skutkuje zainstalowaniem w systemie złośliwego kodu).