Зловредни PDF файлове позволяват компроментиране на Windows

Две zero-day уязвимости, позволяващи компроментиране на операционната система Windows са разкрити от анализатори на ESET и Microsoft, съобщава thehackernews.com.

Едната от тях е репортната от ESET още през март, когато анализаторите на компанията откриват компроментиран файл във VirusTotal. Уязвимостта е докладвана на Microsoft веднага, тъй като позволява „злоупотреба с вече известна пробойна в ядрото на Windows“.

След анализ, Microsoft открива, че в изпратения файл са налични два zero-day експлойта – един за Adobe Acrobat и Reader (CVE-2018-4990) и един за Microsoft Windows (CVE-2018-8120). И двете са патчнати през май, а вече е достъпна детайлна информация за начина, по който работят/

Финална версия или просто проба

Според анализа на Microsoft, зловредният PDF файл е бил в ранен етап от разработката си, тъй като „файлът не сваля payload и прилича повече на proof-of-concept (PoC).“

Изглежда целта е била да бъде създаден мощен инструмент за атака, който е бил разкрит поради невнимание на атакуващите при качването му във VirusTotal.

Какво може кодът

„Експлойтът за Adobe засяга JavaScript ендижина на компанията, като позволява изпълняването на шел код през този модул,“ коментират анализатори на Microsoft. „Втората уязвимост засяга по-стари версии на Windows (Windows 10 не е уязвим) и позволява шел кода да работи извън sandbox-a на Adobre Reader и да получи привилегия за работа през ядрото на Windows,“ пише още в анализа.

Експлойтът е включен в PDF под формата на JPEG 2000 изображение, в което се съдържа JavaScript кода му. След стартирането на файла, той инициира свалянето на празен VB скрипт в Startup директорията на Windows.

Файлът е разкрит от ESET след качването му в репозитори с различни други зловредни кодове.

Microsoft и Adobe вече са публикували патчове за двете уязвимости още през май. Може да ги намерите на линковете по-долу:

• CVE-2018-4990
• CVE-2018-8120