攻击者至少自去年12月以来,一直利用恶意制作的PDF文档攻击Adobe Reader中的一个零日漏洞。
这些攻击是由安全研究员Haifei Li(基于沙箱的漏洞利用检测平台EXPMON的创始人)发现的。他周二警告称,攻击者正在利用他所描述的“高度复杂的、指纹识别式的PDF漏洞利用程序”,针对一个未公开的Adobe Reader安全漏洞进行攻击。
Li还表示,这些攻击已经针对Adobe用户进行了至少四个月,利用特权的util.readFileIntoStream和RSS.addFeed Acrobat API从受感染的系统中窃取数据,并部署额外的漏洞利用程序。
Li警告说:“这种‘指纹识别’漏洞利用已被证实利用了零日/未修补的漏洞,该漏洞在最新版本的Adobe Reader上有效,除了打开PDF文件外,不需要任何用户交互。”
“更令人担忧的是,这种漏洞利用不仅允许威胁行为者收集/窃取本地信息,还可能发起后续的RCE/SBX攻击,这可能导致对受害者系统的完全控制。”
Haifei Li此前披露了微软、谷歌和Adobe软件中的一长串安全漏洞,其中许多已被用于零日攻击。
俄语钓鱼诱饵
威胁情报分析师Gi7w0rm也分析了这个Adobe Reader漏洞利用程序,他发现这些攻击中推送的PDF文档包含引用俄罗斯石油和天然气行业正在发生事件的俄语诱饵。
Li已将这些发现通知了Adobe,在该公司发布安全更新以解决这个被积极利用的漏洞之前,他建议Adobe Reader用户不要打开来自不可信联系人的PDF文档,直到补丁发布。
网络防御者还可以通过监控和阻止用户代理头中包含“Adobe Synchronizer”字符串的HTTP/HTTPS流量来缓解利用此零日漏洞的攻击。
他补充说:“这种用于广泛信息收集以及潜在的后续RCE/SBX利用的零日/未修补能力,足以让安全社区保持高度警惕。这就是为什么我们选择立即公布这些发现,以便用户保持警惕。”
评论