Nowy eksploit dla plików PDF niewidoczny dla programów antywirusowych
Specjaliści firmy antywirusowej Avast odkryli nowy eksploit dla Adobe Readera. Cyberprzestępcy ukrywają znany już złośliwy kod wewnątrz plików PDF tak, że programy antywirusowe traktują go jako niegroźną grafikę.
Polecamy:Zobacz też:Zdaniem Jiri Sejtko, analityka firmy Avast, wykorzystanie czysto graficznego filtru do przetworzenia dowolnego strumienia danych (w tym przypadku złośliwego kodu) było trudne do przewidzenia i właśnie to było przyczyną braku sukcesu skanera antywirusowego uruchomionego na tak spreparowanym pliku.
Co gorsza, specyfikacja PDF pozwala na wykorzystanie filtrów takich jak JBIG2Decode (w tym nawet kilku tego typu filtrów jednocześnie) w niestandardowy sposób. Atak korzysta z luki CVE-2010-0188 (odkrytej w lutym 2010) i jest skuteczny na Adobe Reader w wesji 9.3 i wcześniejszych (na Windows, Mac, Unix). Aktualne wersje Reader X 10.x są na niego odporne, jednak wielu użytkowników ciągle korzysta ze starszych programów.
Zdaniem inżynierów firmy Avast technika ukrywania znanych już eksploitów za pomocą filtru JBIGDecode jest stosowana także dla innych znanych już luk, takich jak na przykład tej odkrytej we wrześniu 2010, a dotyczącej czcionek TryeType, na którą podatny jest Adobe Reader 9.3.4 (na wszystkich platformach). Analitycy firmy Avast zaobserwowali wykorzytanie tej techniki w jednym ukierunkowanym ataku i w stosunkowo małej liczbie ogólnych ataków. Oprogramowanie antywirusowe tej firmy zostało już zaktualizowane tak, by wykrywać złośliwy kod ukryty przy pomocy tego filtru graficznego.
Technika maskowania eksploitów w taki sposób będzie wyzwaniem dla programów antywirusowych, gdyż odkrycie złośliwego kodu wymaga raczej zastosowania dedykowanego algorytmu niż prostej sygnatury.
Komentarze (4)
Co prawda tytuł jest praktycznie kalką oryginalnego materiału, ale spróbuję go obronić :) Otóż programy antywirusowe skanują osadzone tiffy (inaczej nie byłby łapany chociażby wspomniany w tekście CVE-2010-0188). Problem polega na tym, że po złośliwym kodzie "przejechał się" filtr graficzny, co spowodowało, że te tiffy wyglądały dla antywirusa niegroźnie. Tak ja to rozumiem, czyli tytuł mniej więcej pasuje do treści. pozdrowienia Michał Witkowski
If you want to get read, this is how you shloud write.
Wydaje mi sie iz troszke blednie napisano tytul artykulu, program antywirusowy nie ma wykrywac samego exploita, lecz brac pod uwage konkretna partie dokumentu, w tym przypadku obrazy w dokunencie podczas szukania wzorca zlosliwego oprogramowania. Takze antywirus nie ma wykrywac samej mozliwosci wykorzystania luki lecz skanowac dodatkowe partie dokumentu. Pojde nawet o krok dalej i pozwole sobie na stwirrdzenie, ze te paryie dokumentu sa pomijane z celow optymalizacyjnych, by dokument moc szybciej przeskanowac.
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...