Ένας ερευνητής στον τομέα της κυβερνοασφάλειας προτρέπει τους χρήστες να αναβαθμίσουν το Adobe Acrobat Reader μετά από μια επιδιόρθωση που κυκλοφόρησε χθες για μια απομακρυσμένη εκτέλεση κώδικα μηδενικής ημέρας με μια δημόσια εκμετάλλευση απόδειξης της ιδέας.
Το ελάττωμα παρακολουθείται ως CVE-2024-41869 και είναι μια κρίσιμη χρήση μετά από δωρεάν ευπάθεια που θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα κατά το άνοιγμα ενός ειδικά διαμορφωμένου εγγράφου PDF.
Ένα σφάλμα “χρήση μετά τη δωρεάν” είναι όταν ένα πρόγραμμα προσπαθεί να αποκτήσει πρόσβαση σε δεδομένα σε μια θέση μνήμης που έχει ήδη ελευθερωθεί ή κυκλοφορήσει. Αυτό προκαλεί απροσδόκητη συμπεριφορά, όπως διακοπή λειτουργίας ή πάγωμα ενός προγράμματος.
Ωστόσο, εάν ένας παράγοντας απειλής μπορεί να αποθηκεύσει κακόβουλο κώδικα σε αυτήν τη θέση μνήμης και στη συνέχεια το πρόγραμμα αποκτήσει πρόσβαση σε αυτόν, θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση κακόβουλου κώδικα στη στοχευμένη συσκευή.
Το ελάττωμα έχει πλέον επιδιορθωθεί στις πιο πρόσφατες εκδόσεις Acrobat Reader και Adobe Acrobat.
Το PoC exploit ανακαλύφθηκε τον Ιούνιο
Το Acrobat Reader zero-day ανακαλύφθηκε τον Ιούνιο έως EXPMONμια πλατφόρμα που βασίζεται σε sandbox που δημιουργήθηκε από ερευνητή κυβερνοασφάλειας Χαϊφέι Λι για την ανίχνευση προηγμένων εκμεταλλεύσεων όπως μηδενικές ημέρες ή δύσκολα ανιχνεύσιμες (άγνωστες) εκμεταλλεύσεις.
«Δημιούργησα το EXPMON επειδή παρατήρησα ότι δεν υπήρχαν συστήματα ανίχνευσης και ανάλυσης που να βασίζονται σε sandbox που να εστιάζουν ειδικά στον εντοπισμό απειλών από την άποψη της εκμετάλλευσης ή της ευπάθειας», είπε ο Li στο BleepingComputer.
“Όλα τα άλλα συστήματα κάνουν ανίχνευση από την άποψη του κακόβουλου λογισμικού. Η προοπτική εκμετάλλευσης/ευπάθειας είναι πολύ απαραίτητη εάν θέλετε να προχωρήσετε σε πιο προηγμένο (ή, πρώιμο) εντοπισμό.”
“Για παράδειγμα, εάν κανένα κακόβουλο λογισμικό δεν απορριφθεί ή εκτελεστεί λόγω ορισμένων συνθηκών ή εάν η επίθεση δεν χρησιμοποιεί καθόλου κακόβουλο λογισμικό, αυτά τα συστήματα θα χάσουν τέτοιες απειλές. Οι εκμεταλλεύσεις λειτουργούν πολύ διαφορετικά από το κακόβουλο λογισμικό, επομένως απαιτείται διαφορετική προσέγγιση για τον εντοπισμό τους.”
Ο ανακαλύφθηκε το zero-day αφού ένας μεγάλος αριθμός δειγμάτων από δημόσια πηγή υποβλήθηκε στην EXPMON για ανάλυση. Αυτά τα δείγματα περιελάμβαναν ένα κακόβουλο PDF που περιείχε ένα proof-of-concept exploit που προκάλεσε συντριβή.
Ενώ το PoC exploit είναι ένα έργο σε εξέλιξη και δεν περιέχει κακόβουλα ωφέλιμα φορτία, επιβεβαιώθηκε ότι εκμεταλλεύεται ένα σφάλμα “χρήστη μετά από δωρεάν”, το οποίο θα μπορούσε να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση κώδικα.
Αφού ο Li αποκάλυψε το ελάττωμα στην Adobe, κυκλοφόρησε μια ενημέρωση ασφαλείας τον Αύγουστο. Ωστόσο, η ενημέρωση δεν διόρθωσε το ελάττωμα και θα μπορούσε να ενεργοποιηθεί μετά το κλείσιμο διαφόρων παραθύρων.
“Δοκιμάσαμε το (ακριβώς το ίδιο) δείγμα στην “patched” έκδοση του Adobe Reader, εμφάνιζε πρόσθετα παράθυρα διαλόγου, αλλά αν ο χρήστης έκανε κλικ/έκλεισε αυτούς τους διαλόγους, η εφαρμογή εξακολουθούσε να κολλάει! Το ίδιο σφάλμα UAF!” δημοσίευσε στο Twitter τον λογαριασμό EXPMON X.
Χθες, η Adobe κυκλοφόρησε ένα νέα ενημέρωση ασφαλείας που διορθώνει το σφάλμα, το οποίο τώρα παρακολουθείται ως CVE-2024-41869.
Ο Li θα δημοσιεύσει λεπτομέρειες σχετικά με τον τρόπο εντοπισμού του σφάλματος στο ιστολόγιο της EXPMON και περαιτέρω τεχνικές πληροφορίες σε μια επερχόμενη αναφορά Check Point Research.
VIA: bleepingcomputer.com
