Vulnerabilitate „zero-day”Adobe Reader – hackerii folosesc un certificat digital furat

de Roel Schouwenberg, Senior Anti-Virus Researcher, Americas, Global Research & Analysis Team

Ieri, Adobe a postat o avertizare de securitate referitoare la o vulnerabilitate necunoscută până acum, de tip „zero-day”, exploatată intens de infractorii cibernetici.

Metoda de exploatare este foarte simplă, dar ceea ce ne-a atras atenţia este folosirea tehnicii „Return oriented programming” (ROP) pentru a ocoli tehnologiile DEP (Data Execution Prevention) şi ASLR (Adress Space Layout Randomization) din Windows 7 şi Windows Vista.

Era de aşteptat să vedem o răspândire din ce în ce mai largă a tehnicii de exploatare ROP, deoarece Windows 7 a început să câştige teren atât printre utilizatorii individuali, cât şi în rândul companiilor.

În timp ce majoritatea fişierelor PDF descarcă programele periculoase de pe Internet, documentul PDF din cazul nostru include deja în componenţa sa întregul cod malware. Acesta inserează un fişier executabil în directorul  %temp% şi încearcă să-l execute.

Interesant este faptul că acest fişier poartă o semnătură digitală validă a unei Cooperative de Credit din Statele Unite ale Americii.

Priviţi cu atenţie imaginile de mai sus şi veţi putea observa că nu este doar un certificat valid, ci chiar aparţine Vantage Credit Union. Aşadar, infractorii cibernetici au furat un certificat privat, situaţie care ne aminteşte de o altă întâmplare asemănătoare, care a avut loc recent: troianul Stuxnet, semnat digital cu certificate furate de la Realtek şi JMicron.

Rămâne să vedem dacă Stuxnet a dat startul acestei tendinţe printre hackeri sau este doar o coincidenţă. Eu tind să cred că nu, iar acest curent privind folosirea de certificate furate va lua amploare în 2011.

Atât Verisign, cât şi Vantage Credit Union au fost alertate de această situaţie pentru a lua măsuri.