Adobe ReaderおよびAcrobat 9.2以前のバージョンに見つかった脆弱性を利用した、ゼロデイPDFエクスプロイトが存在する。Adobeが「PSIRT」ブログでアドバイザリを公開した。
下のスクリーンショットは我々のオートメーションからのもので、Adobe Acrobat/ReaderでPDFファイルがオープンした際に、実行ファイルをダウンロードしようとする様子を示している。サーバは悪用されたが、現在アクティブだ。
ダウンロードされる実行ファイルは、特定のファイルを探し、暗号化してから、他のサーバにそれらのファイルをアップロードする。このサーバは現在オンラインであり、コンテンツは閲覧可能だ。
障害が起きたマシンのマシン名とIPアドレスが含まれている。
以下は一例だ:
このエクスプロイトは、アップロードされたサーバ上に見つかるファイル数に基づき、標的型攻撃でのみ使用されているようだ。
しかし状況は容易に変わりうる…
AcrobatのJavaScriptオプションを無効にすれば、問題は若干軽減されるかもしれない。
多くの良いリーダが無料で入手できるので、代わりのPDFリーダをインストールするという方法もある。
Adobeは現在、Microsoftのアップデートと同じ日に、必要に応じてセキュリティ/パッチを公開するという、四半期ごとのアップデート・サイクルを予定している。Adobeがフィックスを公開するのは1月12日以降になる可能性がある。
我々は検出したのは以下の通り:
同エクスプロイトは「Exploit:W32/AdobeReader.Uz」である。
ダウンロードされるファイルは「Trojan-Dropper:W32/Agent.MRH」である。
投下されるファイルは「Trojan:W32/Agent.MRI」「Trojan:W32/Agent.MRJ」および「Rootkit:W32/Agent.MRK」である。
— 以下のサイトで詳細が読める —
• Shadowserver – When PDFs Attack II - New Adobe Acrobat [Reader] 0-Day On the Loose
• Security Fix – Hackers target unpatched Adobe Reader, Acrobat flaw
• The Register – Unpatched PDF flaw harnessed to launch targeted attacks
下のスクリーンショットは我々のオートメーションからのもので、Adobe Acrobat/ReaderでPDFファイルがオープンした際に、実行ファイルをダウンロードしようとする様子を示している。サーバは悪用されたが、現在アクティブだ。
ダウンロードされる実行ファイルは、特定のファイルを探し、暗号化してから、他のサーバにそれらのファイルをアップロードする。このサーバは現在オンラインであり、コンテンツは閲覧可能だ。
障害が起きたマシンのマシン名とIPアドレスが含まれている。
以下は一例だ:
このエクスプロイトは、アップロードされたサーバ上に見つかるファイル数に基づき、標的型攻撃でのみ使用されているようだ。
しかし状況は容易に変わりうる…
AcrobatのJavaScriptオプションを無効にすれば、問題は若干軽減されるかもしれない。
多くの良いリーダが無料で入手できるので、代わりのPDFリーダをインストールするという方法もある。
Adobeは現在、Microsoftのアップデートと同じ日に、必要に応じてセキュリティ/パッチを公開するという、四半期ごとのアップデート・サイクルを予定している。Adobeがフィックスを公開するのは1月12日以降になる可能性がある。
我々は検出したのは以下の通り:
同エクスプロイトは「Exploit:W32/AdobeReader.Uz」である。
ダウンロードされるファイルは「Trojan-Dropper:W32/Agent.MRH」である。
投下されるファイルは「Trojan:W32/Agent.MRI」「Trojan:W32/Agent.MRJ」および「Rootkit:W32/Agent.MRK」である。
— 以下のサイトで詳細が読める —
• Shadowserver – When PDFs Attack II - New Adobe Acrobat [Reader] 0-Day On the Loose
• Security Fix – Hackers target unpatched Adobe Reader, Acrobat flaw
• The Register – Unpatched PDF flaw harnessed to launch targeted attacks
