PDF

Adobe са публикували пач за две критични уязвимости в Acrobat и Reader, които могат да доведат до изпълнението на зловреден код чрез специално създаден за целта PDF файл.

Уязвимостите позволяват на злонамерено лице да изпълни код на заразеното устройство без знанието на неговия собственик. Липсват подробности за механизма на действие, но според публикуваната информация това става чрез специално създаден за целта зловреден PDF файл. Отварянето на този файл може да осигури контрол над заразената машина.

Adobe препоръчва на потребителите и системните администраторите да инсталират веднага обновленията.

PDF файловете са един от основните преносители на малуер. Според F-Secure те са едно от петте файлови разширения (заедно с .DOC, .XLS, .ZIP и .7Z), които формират 8% от всички зловредни прикачени файлове в спам кампании.

През май 2018 г. Microsoft и компанията за информационна сигурност ESET съобщиха за зловреден PDF файл, който съдържа експлойт за две непознати дотогава уязвимости: едната засягаща Acrobat и Reader, а другата засягаща Windows.

Последен ъпдейт на 15 октомври 2018 в 03:33 ч.

IQY файловете се използват за сваляне на данни от интернет и зареждането им в таблица в Excel. От средата на 2018 г. обаче те се използват и в спам и спиър фишинг кампании за инсталирането на малуер.

Такива кампании започват да се превръщат в тренд според Quick Heal. Фирмата за информационна сигурност анализира една от последните кампании, които разчитат на IQY файл, за да атакуват компютри. Атаката протича по следния начин:

1.Жертвата получава имейл с прикачен PDF файл, в който има вграден IQY файл;

2.Когато жертвата отвори PDF файла се задейства и отварянето на IQY файла;

3.Жертвата вижда предупреждение да потвърди, че желае да отвори IQY файла;

4.Ако потвърди се отваря ново предупреждение. То е част от вградената защита на Microsoft Office срещу потенциално опасни файлове и скриптове;

5.Ако жертвата пренебрегне и това предупреждение и натисне Enable се задейства PowerShell скрипт, който сваля на устройството инсталационни файлове за FlawedAmmyy;

FlawedAmmyy е троянизирана версия на софтуера за отдалечен достъп Ammyy. FlawedAmmyy действа като RAT (Remote Administration Tool) и за съществуването му се знае от 2016 г. Зловредният код позволява да се установи контрол върху заразеното устройство, да се преглеждат и управляват файловете на твърдия диск, да се прави скрийншот на екрана и др.

„Хакерите постоянно откриват нови начини да заразяват потребителите с малуер и IQY файловете са един от тях. Предпазливостта е най-доброто средство да се избегне заразяване. Потребителите трябва да внимават, когато отварят прикачени файлове от имейли, идващи от съмнителен източник“, коментират от Quick Heal.

IQY файловете добиха популярност като средство за разпространение на малуер сравнително скоро. Една от първите големи спам кампании с прикачен IQY файл, се появи през май 2018 г.

Necurs delivering Flawed Ammy RAT via IQY Excel Web Query files https://t.co/0GhJka2K00 pic.twitter.com/xDCWg4aEKB

— My Online Security (@dvk01uk) May 25, 2018

IQY могат да се разпространяват като прикачен файл в имейла, но могат и да са вградени в PDF файл, който от своя страна е прикачен към имейла. Такъв е и горепосоченият пример. Този тип атаки разчитат на една и съща уязвимост: потребителите неглижират системните предупреждения да не отварят файлове, които свалят данни от интернет.

Excel разполага с филтър за такива файлове. По подразбиране той е включен на Prompt user about Data Connections. Това означава, че ще получавате предупреждение всеки път, когато се опитвате да отваряте файл, който сваля данни от интернет. Можете да промените филтъра на Disable all Data Connections, което ще забрани отварянето на външни връзки от документа.

За да настроите филтъра, влезте в Excel и изберете:

File > Options > Trust Center > Trust Center Settings > External Content

Две zero-day уязвимости, позволяващи компроментиране на операционната система Windows са разкрити от анализатори на ESET и Microsoft, съобщава thehackernews.com.

Едната от тях е репортната от ESET още през март, когато анализаторите на компанията откриват компроментиран файл във VirusTotal. Уязвимостта е докладвана на Microsoft веднага, тъй като позволява „злоупотреба с вече известна пробойна в ядрото на Windows“.

След анализ, Microsoft открива, че в изпратения файл са налични два zero-day експлойта – един за Adobe Acrobat и Reader (CVE-2018-4990) и един за Microsoft Windows (CVE-2018-8120). И двете са патчнати през май, а вече е достъпна детайлна информация за начина, по който работят/

Финална версия или просто проба

Според анализа на Microsoft, зловредният PDF файл е бил в ранен етап от разработката си, тъй като „файлът не сваля payload и прилича повече на proof-of-concept (PoC).“

Изглежда целта е била да бъде създаден мощен инструмент за атака, който е бил разкрит поради невнимание на атакуващите при качването му във VirusTotal.

Какво може кодът

„Експлойтът за Adobe засяга JavaScript ендижина на компанията, като позволява изпълняването на шел код през този модул,“ коментират анализатори на Microsoft. „Втората уязвимост засяга по-стари версии на Windows (Windows 10 не е уязвим) и позволява шел кода да работи извън sandbox-a на Adobre Reader и да получи привилегия за работа през ядрото на Windows,“ пише още в анализа.

Експлойтът е включен в PDF под формата на JPEG 2000 изображение, в което се съдържа JavaScript кода му. След стартирането на файла, той инициира свалянето на празен VB скрипт в Startup директорията на Windows.

Файлът е разкрит от ESET след качването му в репозитори с различни други зловредни кодове.

Microsoft и Adobe вече са публикували патчове за двете уязвимости още през май. Може да ги намерите на линковете по-долу:

• CVE-2018-4990
• CVE-2018-8120