Seguindo uma tendência diagnosticada desde o ano passado, o crime organizado continua produzindo malwares que exploram vulnerabilidades de plugins, em especial o Adobe Reader. Mais uma vez, a máxima "uma corrente é tão forte quanto seu elo mais fraco" mostra-se atual e apresenta os usuários como esse elo fraco.
Aparentemente, os mesmos criminosos que criaram o Cavalo de Tróia Hydra, responsáveis pela invasão da Google e dezenas de outras empresas no início do ano, atacam mais uma vez, explorando uma nova vulnerabilidade do Adobe Reader (vulnerabilidade zero-day, pois até o momento nenhuma correção foi publicada). De acordo com a Symantec, vários e-mails com arquivos PDFs maliciosos foram identificados, com origem na mesma rede da China que é apontada como origem do Hydra.
O ataque utiliza uma técnica chamada Programação Orientada a Retorno (Return-oriented Programming) para burlar o mecanismo de prevenção de execução de dados do Windows, que tem como objetivo evitar a execução de código na pilha e na heap, e executar instruções maliciosas através do biblioteca icucnv36.dll.
Após a exploração com sucesso, o malware obtém uma biblioteca que realiza downloads de outros códigos maliciosos. Além disso, o PDF possui um certificado digital assinado por um certificado roubado de uma Autoridade Certificadora, para tentar enganar o usuário a respeito da autenticidade do arquivo.
Enquanto a correção não é publicada pela Adobe, resta aos usuários manter os antivírus atualizados e/ou utilizar um leitor de PDFs diferentes.
O ataque é muito sofisticado. A técnica de programação orientada a retorno foi apresentada na conferência Black Hat de 2008, e mostra a determinação dos criminosos em burlar os mecanismos de proteção existentes.
Fontes:
http://www.theregister.co.uk/2010/09/13/adobe_attacker_fingerprints/
http://www.symantec.com/connect/blogs/hydraq-aurora-attackers-back
http://www.symantec.com/security_response/writeup.jsp?docid=2010-011114-1830-99
http://cseweb.ucsd.edu/~hovav/talks/blackhat08.html
Nenhum comentário:
Postar um comentário