Изъяны формата PDF – новая лазейка для Zeus

Исследователи вопросов компьютерной безопасности обнаружили, что ботнет Zeus начал пополняться новыми системами, заражая их вредоносным кодом при помощи уязвимости в формате документов PDF. Первые сведения о таких атаках начали появляться менее чем через неделю после того, как эксперты предположили возможность использования функции /Launch для установки вредоносного ПО на компьютер ничего не подозревающего пользователя.

По словам Дэна Хаббарда (Dan Hubbard), главного директора по технологиям компании Websense, последний вариант программного обеспечения Zeus распространяется через PDF-файлы со встроенным кодом эксплоита. Когда пользователь открывает такой документ, программа предлагает ему сохранить файл под названием Royal_Mail_Delivery_Notice.pdf, являющийся на самом деле Windows-программой, которая при запуске осуществляет захват контроля над системой.

Функция /Launch, открывающая возможность для инфицирования, является частью спецификации формата. В начале апреля бельгийский исследователь Дидье Стивенс (Didier Stevens) продемонстрировал, каким образом ее можно использовать для осуществления многоступенчатой атаки при отсутствии других уязвимостей в Adobe Reader или Acrobat.

Его предшественники указывали на подобную опасность еще в августе 2009 года, когда в состав пакета для исследования уязвимостей Metasploit был включен модуль, нацеленный на ту же функцию. "Колин Эймс (Colin Ames) из Attack Research написал этот модуль для презентации на конференции Black Hat, – сообщил HD Moore, автор Metasploit. – Разработка Дидье создана независимо от наших изысканий, однако она базируется на тех же принципах".

Стивенс утверждает, что на сей раз троянская программа Zeus использует для инфицирования именно этот модуль Metasploit. Хотя оба приложения – Reader и Acrobat – предупреждают пользователя о присутствии в PDF-файле исполняемого кода, эта мера предосторожности не мешает ему открыть сомнительный документ. Дэн Хаббард уверяет, что этот формат имет имеет настолько широкое распространение в электронном документообороте, что уровень доверия к нему оказывается гораздо выше, чем к другим типам файлов.

Команде Websense удалось обнаружить несколько тысяч атак Zeus, проведенных при помощи внедренного вредоносного кода в сочетании с функцией /Launch, и их количество продолжает возрастать. Несмотря на нестандартность техники взлома, используемый инструментарий, а также злоумышленники и их мотивы остаются прежними, уверяет Хаббард. Основным направлением активности Zeus по-прежнему является размещение в системе жертвы программ для похищения реквизитов, например, имен пользователей и паролей для платежных систем.

Представители Adobe Systems отказались раскрывать свои планы по выпуску специальных патчей для своих приложений, заявив, что во время одного из ежеквартальных обновлений их функциональность, возможно, будет изменена. Получив первые сведения об успешной атаке с использованием документированной функции Reader и Acrobat, специалисты компании рекомендовали пользователям отключить небезопасную опцию. На сей раз Брэд Аркин (Brad Arkin), директор Adobe по безопасности продукции, не исключает необходимости отключить ее в новых версиях приложений. В настоящий момент функция /Launch включена в продуктах Adobe по умолчанию.