攻撃者は少なくとも12月以来、悪質に作成されたPDFドキュメントを使用してAdobe Readerのゼロデイ脆弱性を悪用しています。
これらの攻撃は、セキュリティ研究者のHaifei Li(サンドボックスベースの悪用検出プラットフォームEXPMONの創設者)によって発見されました。彼は火曜日に、攻撃者が「非常に高度な指紋認証スタイルのPDF悪用」と説明したものを使用して、未公開のAdobe Readerセキュリティ欠陥をターゲットにしていると警告しました。
Liはまた、これらの攻撃は少なくとも4ヶ月間Adobeユーザーをターゲットにしており、特権のあるutil.readFileIntoStreamおよびRSS.addFeed Acrobat APIを使用して侵害されたシステムからデータを盗み、追加の悪用を展開していると述べました。
「この『指紋認証』悪用は、ゼロデイ/未パッチの脆弱性を活用することが確認されており、PDFファイルを開く以外のユーザーインタラクションを必要とせずにAdobe Readerの最新バージョンで機能します」とLiは警告しました。
「さらに懸念されることに、この悪用により脅威行為者は単にローカル情報を収集/盗むだけでなく、その後のRCE/SBX攻撃を起動する可能性があり、被害者のシステムの完全な制御につながる可能性があります。」
Haifei Liはマイクロソフト、Google、およびAdobe ソフトウェアのセキュリティ脆弱性の長いリストを開示しており、その多くがゼロデイ攻撃で悪用されているのです。
ロシア語フィッシング詐欺
この Adobe Reader悪用も分析した脅威インテリジェンスアナリストのGi7w0rmは、これらの攻撃で配布されるPDFドキュメントに、ロシアの石油・ガス産業での進行中のイベントを参照するロシア語のおとり文字が含まれていることを発見しました。
Liはこれらの調査結果についてAdobeに通知し、同社がこのアクティブに悪用されている脆弱性に対処するセキュリティ更新をリリースするまで、Adobeレイダーユーザーに信頼できない相手から受け取ったPDFドキュメントを開かないようアドバイスしました。
ネットワークディフェンダーは、ユーザーエージェントヘッダーに「Adobe Synchronizer」という文字列を含むHTTP/HTTPSトラフィックを監視・ブロックすることで、このゼロデイを悪用する攻撃を軽減することもできます。
「この広範な情報収集のためのゼロデイ/未パッチ機能と、その後のRCE/SBX悪用の可能性は、セキュリティコミュニティに高い警戒を維持するのに十分です。これが、ユーザーが警戒を続けることができるように、これらの調査結果を直ちに公開することを選択した理由です」と彼は付け加えました。
BleepingComputerもLiの調査結果についてAdobeに連絡しましたが、すぐに返答がありませんでした。
