Zeus atakuje przez lukę w PDF

Niebezpieczny botnet Zeus został uaktualniony przez swoich twórców - dzięki temu może infekować komputery wykorzystując niezałataną lukę w formacie PDF. Na razie nie wiadomo, kiedy pojawi się aktualizacja rozwiązująca problem - prace nad nią mogą się przeciągnąć, bo nie jest to klasyczna luka w zabezpieczeniach, lecz błąd projektowy.

Ów błąd wykryty został na początku kwietnia - poinformował o nim belgijski specjalista ds. bezpieczeństwa, Didier Stevens. Problem występuje w większości aplikacji obsługujących format - Stevens dowiódł, iż możliwe jest wykorzystanie funkcji /Launch do uruchomienia dowolnego, osadzonego w pliku PDF kodu (np. konia trojańskiego). Zaraz po ujawnieniu błędu specjaliści ds. bezpieczeństwa zgodnie prognozowali, że wkrótce z pewnością zainteresują się nim cyberprzestępcy - i to mimo tego, że Stevens nie opublikował exploita.

I faktycznie - Dan Hubbard z amerykańskiej firmy Websense poinformował właśnie, że botnet Zeus zaczął już wykorzystywać ów problem do infekowania Windows. Komputery wchodzące w skład botnetu od kilku dni rozsyłają e-maile z załączonymi złośliwymi plikami PDF. Przy próbie otwarcia takiego pliku pojawia się komunikat z pytaniem o zgodę na uruchomienie dokumentu o nazwie Royal_Mail_Delivery_Notice.pdf. W rzeczywistości jest to plik .exe z sfałszowanym rozszerzeniem, zaś jego uruchomienie powoduje zainstalowanie w systemie złośliwego kodu. Zeus jest pierwszym dużym botnetem, którego autorzy skorzystali z owego błędu - jest jednak bardzo prawdopodobne, że wkrótce zaczną go wykorzystywać również inne sieci komputerów-zombie.

Błąd znany od dawna

Co ciekawe, ostatnio okazało się, że Didier Stevens nie jest pierwszą osobą, która wpadła na pomysł wykorzystania komendy /Launch do zaatakowania komputera - HD Moore, koordynator projektu MetaSploit (w ramach którego rozwijany jest open-source'owy zestaw narzędzi do testów penetracyjnych) poinformował, że bardzo podobna metoda ataku została wprowadza do Metasploit już w sierpniu ubiegłego roku. Moore podkreśla jednak, że Stevens doszedł do swoich odkryć samodzielnie - "Zaprezentowany przez niego exploit jest autorski i różny od naszego - ale metoda zastosowana w obu przypadkach jest praktycznie identyczna".

Z pierwszych analiz kodu wykorzystywanego przez Zeusa do infekowania komputerów wynika, że exploit wykorzystujący błąd w PDF to dokładnie ten sam kod, który w ubiegłym roku dodano do Metasploit. Potwierdził to już m.in. Didier Stevens.

"Adobe Reader i Acrobat wyświetlają co prawda ostrzeżenie przy próbie automatycznego uruchomienia pliku wykonywalnego umieszczonego w dokumencie PDF - ale to zwykle nie powstrzymuje użytkowników przed uaktywnieniem złośliwego kodu. Dodatkowym problemem jest to, że ludzie generalnie ufają formatowi PDF - kojarzą go z dokumentami biznesowymi i nie uważają za potencjalne zagrożenie" - komentuje Dan Hubbard.

Hasła i loginy na celowniku

Przedstawiciel Websense dodał też, że choć narzędzie ataku jest nowe, to autorzy Zeusa nie zmienili zasadniczo modus operandi - wciąż skupiają się na wykradaniu z zainfekowanych komputerów haseł i loginów i wciąż wykorzystują do tego głównie konie trojańskie instalujące się w Windows przez luki w zabezpieczeniach popularnych aplikacji.

Adobe na razie nie informuje, czy i kiedy można spodziewać się udostępnienia poprawki chroniącej użytkowników Acrobata i Readera przed atakiem. Sprawa jest o tyle skomplikowana, że tym razem nie mamy do czynienia z błędem programistycznym czy jakimś zaniedbaniem - to klasyczny błąd projektowy (a ich usuwanie jest zwykle dużo bardziej złożonym procesem). Na razie firma zaleca wyłączenie w opcjach możliwości uruchamiania kodu osadzonego w pliku PDF (odpowiednią instrukcję można znaleźć na stronie Adobe).