Przestępcy usiłują wykorzystać niezałataną lukę w Adobe Readerze

Według doniesień kilku producentów antywirusów przestępcy starają się obecnie wykorzystać znaną od około dwóch tygodni i wciąż niezałataną lukę w programie Adobe Reader do infekowania komputerów z systemami Windows. Wśród potencjalnych zagrożeń wymienia się uważany za wyjątkowo niebezpieczny bot ZeuS.

Funkcja Launch Actions/Launch File pozwala na wykonywanie umieszczonych w dokumentach PDF skryptów lub plików EXE. Co prawda Adobe Reader prosi użytkownika o zgodę na uruchomienie takiego pliku, jednak pewne elementy okna dialogowego można tak zaprojektować, że nie zauważy on niczego podejrzanego.

Sophos prezentuje w firmowym blogu przykład takiego zachowania. Chodzi o nakłonienie użytkownika do kliknięcia przycisku OK. Spreparowane dokumenty trafiają na komputer przypuszczalnie w załącznikach e-maili.

Z kolei M86Security informuje o pliku PDF, który usiłuje zainstalować bota ZeuS. Podczas jego otwierania dochodzi do próby zapisania innego dokumentu PDF, w którym zawarty jest właściwy malware. Ta mistyfikacja ma przypuszczalnie na celu oszukanie skanera antywirusowego. Co ciekawe, w Readerze przed zapisaniem zostaje otwarte okno dialogowe z ostrzeżeniem, podczas gdy Foxit zapisuje plik automatycznie bez pytania użytkownika o zgodę. Jednak przy próbie uruchomienia bota ukrytego w pliku PDF aktualne wydanie Foxita wyświetla odpowiednie okno dialogowe –. starsze wersje programu wykonują zagnieżdżone pliki bez ostrzeżenia.

Ze względu na istnienie okna ostrzegawczego w Readerze producent nie klasyfikuje usterki jako krytycznej. Zdaniem Adobe dzięki tej pożytecznej funkcji jedynie niewłaściwe zachowanie użytkownika może spowodować problemy. Wszak Adobe Reader ostrzega, by uruchamiać tylko pliki pochodzące z zaufanych źródeł. Producent zaleca wyłączenie w menu Edycja | Preferencje | Menedżer zaufania opcji Pozwól na otwieranie załączników w innym formacie niż PDF za pomocą aplikacji zewnętrznych –. domyślnie jest ona bowiem włączona.

Na razie ataki sprawiają wrażenie nieszczególnie wyrafinowanych. Zdaniem Jeremy'ego Conwaya, który niedawno zaprezentował udoskonaloną wersje exploita opublikowanego przez Didiera Stevensa, prawdopodobnie już wkrótce sytuacja ulegnie zmianie i pojawi się bardziej dokuczliwy malware.

wydanie internetowe www.heise-online.pl