当前位置:安全资讯 >> 全文

黑客送给研究员的情人节礼物:两枚 0day 漏洞免费送

发布时间:2018-7-3 11:38 标签: 0day,微软,Adobe
分享到 0

微软研究员披露了两个严重的 0day 漏洞详情。某黑客将恶意 PDF 文件上传至 VirusTotal 后,漏洞遭暴露并在遭利用前被修复。

3月末,ESET 公司的研究员在 VirusTotal 上找到了一个恶意 PDF 文件,并和微软安全团队分享了这个“可能是未知 Windows 内核漏洞的潜在利用”。

微软分析后发现这个恶意 PDF 文件中还包含两个 0day 利用,一个针对的是 Adobe Acrobat Reader,另外一个针对的是微软 Windows 系统。5月第2周,漏洞补丁发布,微软在用户升级易受攻击的操作系统和 Adobe 软件后公布漏洞详情。

研究人员表示,包含这两个 0day 漏洞的 PDF 文件还处在开发早期阶段,理由是“PDF 文件本身并不会传播恶意 payload,似乎是 PoC 代码”。貌似本来能够组合利用这两个 0day 漏洞的人员不慎错误地将还在处在开发过程中的利用上传至 VirusTotal 而导致漏洞遭暴露。

这两个 0day 漏洞是存在于 Adobe Acrobat Reader 中的远程代码执行漏洞 CVE-2018-4990 和存在于 Windows 中的权限提升漏洞 CVE-2018-8120。前一个漏洞攻击的是 Adobe JavaScript 引擎并在该模块中运行 shellcode。第二个利用并不影响现代平台如 Windows 10,而是允许 shellcode 逃逸 Adobe Reader 沙箱并从 Windows 内核内存中以提升权限运行。

Adobe Acrobat Reader利用作为包含 JavaScript 利用代码的恶意构造的 JPEG 2000 图像被集成到一个 PDF 文档中,这个 JavaScript 利用代码触发软件中的某个 double-free 漏洞运行 shellcode

通过利用第一个漏洞中的 shellcode 执行,攻击者利用Windows 内核漏洞打破 Adobe Reader 沙箱并以提升后的权限运行。由于这个恶意 PDF 样本在检测之时尚处于开发阶段,因此它显然包含一个简单的 PoC payload 并将空 vbs 文件释放到 Sartup 文件夹中。

ESET 公司的研究人员表示,最初它是在 PDF 被上传到一个恶意样本公共库中时发现的这个 PDF 样本。它并未包含最终 payload,说明正处于早期开发阶段。尽管样本中并未包含真正的恶意最终 payload,攻击者在漏洞发现和利用编写方面展示出较高技能。

5月,微软和 Adobe 分别发布漏洞补丁。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html
参与讨论,请先 登录 | 注册

用户评论