Nowe ataki na lukę "zero-day" w Readerze

Specjaliści ds. bezpieczeństwa informują, że przestępcy od kilku dni stosują nowe metody atakowania komputerów przez znaną od kilku tygodni lukę w zabezpieczeniach aplikacji firmy Adobe. Atak przeprowadzany jest z wykorzystaniem odpowiednio zmodyfikowanego pliku PDF - otwarcie go w Adobe Readerze lub Acrobacie powoduje zainstalowanie w systemie złośliwego kodu.

O nowej metodzie atakowania komputerów poinformowali specjaliści z Internet Storm Center (czyli stworzonej przez ochotników organizacji zajmującej się m.in. monitorowaniem działań cyberprzestępców).

Dodajmy, że luki wykorzystywane podczas nowych ataków znane są już od końca listopada i były już wcześniej używane do instalowania w komputerach złośliwych aplikacji. Teraz pojawiła się jednak nowa, skuteczniejsza metoda wprowadzania do systemu złośliwego kodu.

Owa nowa metoda na razie nie jest powszechne - przestępcy wykorzystują ją do ataków skierowanych przeciwko konkretnym grupom użytkowników (e-maile z załączonym niebezpiecznym plikiem PDF rozsyłane są np. do pracowników konkretnych firm). Niewykluczone jednak, że z czasem takie wiadomości zaczną być masowo rozsyłane do internautów z całego świata - wtedy liczba potencjalnie zagrożonych użytkowników będzie znacznie większa.

Przedstawiciele ISC podkreślają, że w tym konkretnym przypadku zagrożenie jest o tyle poważne, iż takie ataki na małą skalę często nie są zauważane przez producentów oprogramowania zabezpieczającego - a to znaczy, że popularne aplikacje antywirusowe nie wykrywają złośliwych plików. Z testów przeprowadzonych przez ISC wynika, że obecnie tylko 6 z 40 najpopularniejszych aplikacji AV poprawnie wykrywa i kasuje ów złośliwy plik PDF.

Jeśli przestępcom uda się poprawnie przeprowadzić opisany powyżej atak, to efektem jest zainstalowanie w systemie Windows konia trojańskiego PoisonIvy, który umożliwia przejęcie pełej kontroli nad zainfekowanym komputerem.

Przypomnijmy: nowa luka "zero-day" została wykryta w produktach już pod koniec listopada 2009 r. - ale firma kilka tygodni temu zapowiedziała, że załata ją dopiero w połowie stycznia. Zamiast poprawki koncern opublikował jedynie instrukcję, jak tymczasowo zabezpieczyć swoje produkty - tak, by do 12 stycznia (na ten dzień zaplanowano udostępnienie łatki) Acrobat i Reader nie były podatne na atak. Szerzej o błędzie pisaliśmy w tekście "Adobe znów ma problem - luka "zero-day" w Acrobacie i Readerze".