Adob​​e确认零日漏洞绕过Adobe Reader沙箱

最近发现的绕过Adobe Reader 10和11中的沙盒反开发保护的漏洞非常复杂，可能是重要网络间谍活动的一部分，反病毒供应商卡巴斯基实验室恶意软件分析团队负责人说，这项漏洞是周二由安全公司FireEye的研究人员发现的，该公司称它被用于主动攻击。 Adobe证实，该漏洞利用了最新版本的Adobe Reader和Acrobat，包括10和11版本，其中包含沙箱保护机制。“

”Adobe知道有报告称，这些漏洞正在被设计的有针对性的攻击中被利用以诱使Windows用户点击通过电子邮件发送的恶意PDF文件“，该公司在周三发布的安全公告中称。

[更多阅读：如何从Windows PC删除恶意软件]

Adob​​e正在运行但同时建议Adobe Reader 11的用户通过在编辑>首选项>安全（增强）菜单下选择“潜在不安全位置的文件”选项来启用受保护视图模式。

利用和根据卡巴斯基实验室恶意软件研究和分析团队主管Costin Raiu的说法，它安装的恶意软件是超级高级的。 “这不是每天都能看到的，”他周四说，“从这些攻击的复杂性来看，Raiu得出结论，他们必须成为”非常重要“的一部分，”这将与Duqu处于同一水平。“

Duqu是2011年10月发现的一款网络间谍活动恶意软件，与Stuxnet相关，Stuxnet是高度复杂的计算机蠕虫，在伊朗纳坦兹的核电厂破坏铀浓缩离心机。 Duqu和Stuxnet都被认为是由一个民族国家创建的。

最新的漏洞以PDF文档的形式出现，并在Adobe Reader中攻击两个单独的漏洞。一个用于获取任意代码执行权限，一个用于从Adobe Reader 10和11沙箱中逃脱，Raiu表示。这个漏洞在Windows 7上运行，包括64位版本的操作系统，以及它绕过Windows ASLR（地址空间布局随机化）和DEP（数据执行保护）反开发机制。

执行时，漏洞会打开包含旅行签证申请表的诱饵PDF文档，Raiu说。本文档的名称是“Visaform Turkey.pdf”。

漏洞还会删除并执行恶意软件下载程序组件，该组件会连接到远程服务器并下载其他两个组件。他说，这两个组件窃取密码和关于系统配置的信息，并且可以记录击键。

恶意软件和命令与控制服务器之间的通信使用zlib压缩，然后使用AES（高级加密标准）加密，使用RSA公钥密码术

这种类型的保护在恶意软件中很少见到，Raiu说。 “类似的东西被用于Flame cyberespionage恶意软件，但在服务器端使用。”

这是由民族国家创建的网络间谍活动工具，也可以是由私人承包商出售给执法机构的所谓合法拦截工具之一。情报机构需要花费大笔金钱，他说，“卡巴斯基实验室目前还没有关于这次袭击目标的信息，或者它们在世界各地的分布情况，”Raiu说。研究机构郑布拒绝对袭击目标发表评论。 FireEye周三发布了一篇关于恶意软件技术信息的博客文章，但没有透露任何有关受害者的信息。

Bu表示，恶意软件使用某些技术来检测它是否在虚拟机中执行，因此可以逃避自动恶意软件分析系统的检测。