Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Adobe Reader Alert! Scoperte due gravi vulnerabilità 0-day
- VENERDÌ 18 MAGGIO 2018


L'unica fortuna è che gli attaccanti siano stati scoperti prima di passare ai fatti: detenevano cioè due vulnerabilità sconosciute e molto gravi, ma hanno deciso di "testarle" prima di usarle in un attacco reale e sono finiti scoperti. Ecco la storia delle vulnerabilità 0-day CVE-2018-4990 e CVE-2018-8120.

Il tentativo di attacco
Per i pirati lo scenario era potenzialmente molto positivo: detenere due vulnerabilità 0-day (cioè sconosciute) di uno dei software più diffusi al mondo determinava un potenziale di attacco enorme. L'errore fatto dai pirati, che ha compromesso l'intera operazione e fatto individuare le vulnerabilità prima di un uso realmente dannoso, è stato quello di caricare un sample del loro malware (palesemente in fase di test, dato che era ancora privo di payload) su un repository pubblico dedicato all'analisi dei file sospetti. E' una procedura piuttosto comune tra i cyber criminali, che usano questo tipo di servizi per verificare se il codice dannoso creato venga o meno rilevato dai motori antivirus, almeno da quelli più diffusi. In questo caso però i file sono stati analizzati davvero e sono stati trovati i due exploit: i ricercatori hanno quindi immediatamente avvisato Adobe e Microsoft per allertarli e consentire l'approntamento delle dovute patch. 

Le due vulnerabilità
Queste due vulnerabilità possono essere usate in tandem per eseguire codice da remoto sui computer Windows all'apertura di un file .PDF. Infatti, se l'exploit ha successo, l'attaccante può ottenere il controllo del sistema vulnerabile e la possibilità quindi di eseguire malware sullo stesso. In the wild, come detto, sono state sfruttate con successo usando documenti PDF compromessi. 

La prima falla, la CVE-2018-4990, interessa Acrobat Reader e permette di avviare, all'apertura del documento PDF, un Javascript che modifica il codice di un "pulsante" (una immagine in formato JPEG2000) entro il PDF stesso. Questo Javascript attacca il motore Java di Acrobat Reader e avvia una shellcode che apre un file PE incorporato nel documento stesso. Riguarda le versioni:

  • Acrobat DC 2018.011.20038 e versioni precedenti
  • Acrobat Reader DC 2018.011.20038 e versioni precedenti
  • Acrobat 2017 2017.011.30079 e versioni precedenti
  • Acrobat Reader 2017 2017.011.30079 e versioni precedenti
  • Acrobat DC 2015.006.30417 e versioni precedenti
  • Acrobat Reader DC 2015.006.30417 e versioni precedenti
La seconda vulnerabilità, la CVE-2018-8120, riguarda il componente Win32k e consente al malware di ottenere i privilegi necessari per eseguire codice a livello del kernel. 

La Patch
Adobe ha già rilasciato un avviso di sicurezza riguardante questa problematica il 14 Maggio: è il bollettino APSB18-09. Adobe ha comunque specificato che l'attacco in the wild è mirato ed ha un impatto limitato sugli utenti Windows. 

L'individuazione da parte di Quick Heal
Per la vulnerabilità CVE-2018-4990 Quick Heal ha rilasciato la seguente individuazione:
  • Exp.PDF.CVE-2018-4990
Fonti:


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login