当前位置:安全资讯 >> 全文

踏破铁鞋无觅处得来全不费工夫:神秘黑客不慎将两个 0day 漏洞暴露给安全研究员

发布时间:2018-5-16 11:47 标签: 0day
分享到 0

身份不明的黑客组织在将某个武器化 PDF 文档上传至公共恶意软件扫描引擎时,似乎不小心暴露了两个完全起作用的 0day 漏洞。

斯洛伐克反病毒厂商 ESET 的研究员发现这两个0day 漏洞后报告给 Adobe 和微软,后者已在两个月内予以修复。

仍在开发过程中的 0day 漏洞遭暴露

研究员 Anton Cherepanov 发现这两个 0day 漏洞隐藏在海量恶意软件样本中,他认为当时一名或多名神秘黑客仍在完善这些利用。

Cherepanov 表示,“样本中不包含最终 payload,这表明当时它们正处于早期开发阶段。”

这两个 0day 漏洞是 CVE-2018-4990,影响 Adobe Acrobat/Reader PDF 查看器,而 CVE-2018-8120 影响 Windows Win32k 组件。

这两个 0day 漏洞旨在组合使用并组建成所为的“利用链”。Adobe 0day 漏洞旨在提供在 Adobe Acrobat/Reader 中运行自定义代码的能力,而 Windows 0day 允许攻击者逃避 Adobe 的沙箱防护机制并在底层操作系统中执行更多代码。

利用链如何运作

Cherepanov 表示,“恶意 PDF 样本内嵌 JavaScript 代码,从而控制整个利用进程。打开 PDF 文件后,JavaScript 就会执行。”他在一份报告中详细说明了利用链的情况,可概括如下:

l  用户接收并打开存在陷阱的 PDF 文件;

l  当用户打开 PDF 文件时执行恶意 JavaScript 代码

l  JavaScript 代码操纵按钮对象;

l  由特殊构造的 JPEG2000 图片组成的按钮对象在 Adobe Acrobat/Reader 的双重释放漏洞;

l  JavaScript 代码使用对污染技术获得读写内存权限;

l  JavaScript 代码随后攻击 Adobe Reader JavaScript 引擎;

l  攻击者使用引擎的原生汇编指令执行自己的原生 shellcode

l  Shellcode 初始化内嵌在 PDF 中的 PE 文件;

l  微软 Win32k 0day 漏洞部分起作用,使攻击者能够提升 PE 文件权限在内核模式下运行,冲破 Adobe Acrobat/Reader 沙箱并获得系统级别的权限。

   这个利用链是黑客实施进攻的杰作,但它永远无法发挥其原本的作用,因为其作者在将其上传至已知的病毒扫描引擎以检测其躲避检测的水平时,犯了一个操作性错误。

    3月底,Cherepanov 发现了两个可疑的 PDF 样本。这两个 0day 漏洞目前已得到修复。微软上周在“2018五月补丁星期二”中修复了 CVE-2018-8120,而 Adobe 刚刚在 APSB18-09 中修复了 CVE-2018-4990

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/shadowy-hackers-accidentally-reveal-two-zero-days-to-security-researchers/
参与讨论,请先 登录 | 注册

用户评论