Symantec: Новые Zero-day уязвимости Adobe PDF


AdobeСпециалистами корпорации Symantec была обнаружена интернет-активность, эксплуатирующая новые уязвимости нулевого дня (CVE-2013-0640, CVE-2013-0641) в продуктах Adobe Reader и Adobe Acrobat XI и более ранних версий. Компанией Adobe пока еще не было выпущено исправлений по этим уязвимостям, однако они опубликовали рекомендации по противодействию эксплуатирующим их атакам.

По предварительному отчёту о новой 0-day уязвимости, опубликованному ранее компанией FireEye, известно, что в результате успешной эксплуатации уязвимости, на компьютер были загружены несколько файлов. Последующий анализ экспертов Symantec подтверждает такую возможность.

Ataka posredstvom CVE-2013-0640
Атака посредством CVE-2013-0640

Этапы атаки, представленные на вышерасположенном рисунке, проходят следующим образом:

  • Вредоносный PDF-файл устанавливает DLL-библиотеку под названием D.T;
  • D.T декодирует и устанавливает DLL-библиотеку под названием L2P.T;
  • L2P.T создает в реестре ключи автозапуска и загружает на компьютер библиотеку-загрузчик LangBar32.dll;
  • LangBar32.dll с сервера злоумышленников скачивает дополнительное вредоносное ПО с бэкдор и кейлоггер-функционалом.


Продукты компании Symantec идентифицируют вредоносные программы на этих этапах атаки, как Trojan.Pidief и Trojan.Swaylib. С целью выявления данного эксплойта было выпущено дополнительное определение (сигнатура) для системы предотвращения вторжений (IPS) Web Attack: Malicious PDF File Download 5.

Дальнейшее исследование показало, что используемые в ходе атаки PDF-файлы идентифицируются облачными технологиями детектирования Symantec как WS.Malware.2.


Обновлено (19.02.2013 19:51)