Cybersecurity Threats

2 ช่องโหว่ Zero-Days ภัยร้ายในไฟล์ PDF กับ Adobe และ Microsoft

1 ไฟล์ PDF กับ 2 ช่องโหว่ใน Adobe Reader และ Microsoft คุณกำลังใช้ซอฟต์แวร์เหล่านี้หรือไม่?

ในช่วงเดือนมีนาคมที่ผ่านมานักวิจัยของ ESET ได้ผมสิ่งที่น่าสนใจในตัวอย่างไฟล์ PDF อันตราย ที่สามารถเจาะ 2 ช่องโหว่ในโปรแกรม Adobe Reader และ Microsoft Windows ได้

การรวม 2 ช่องโหว่ทำให้แฮกเกอร์สามารถออกคำสั่งใช้งานโค้ดกับเป้าหมายได้อย่างอิสระ และซ่อนตัวจากเจ้าของระบบได้เป็นอย่างดี เหมือนกับแผนการที่กลุ่มแฮกเกอร์ Sednit ใช้ในปีที่ผ่านมา

ทันทีที่ทาง ESET ได้รับตัวอย่างไฟล์ PDF อันตรายดังกล่าว ทาง ESET ได้ติดต่อทาง Microsoft Security Response Center, Windows Defender ATP research team, และ Adobe Product Security Incident Response Team เพื่อให้ดำเนินการแก้ไขโดยเร็ว

หมายเลขรหัสช่องโหว่ของ Adobe และ Microsoft คือ

มีผลกระทบต่อโปรแกรมเวอร์ชั่นดังต่อไปนี้:

  • Acrobat DC (2018.011.20038 and earlier versions)
  • Acrobat Reader DC (2018.011.20038 and earlier versions )
  • Acrobat 2017 (011.30079 and earlier versions)
  • Acrobat Reader DC 2017 (2017.011.30079 and earlier versions)
  • Acrobat DC (Classic 2015) (2015.006.30417 and earlier versions)
  • Acrobat Reader DC (Classic 2015) (2015.006.30417 and earlier versions)
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

PDF หรือ (Portable Document Format) เป็นชนิดของไฟล์อิเล็กทรอนิกส์ที่เป็นที่นิยม และแฮกเกอร์มักใช้ในการแพร่กระจายมัลแวร์สู่ผู้ใช้ เนื่องจากแฮกเกอร์สามารถดัดแปลงและใช้ช่องโหว่ของซอฟต์แวร์อ่าน PDF

โปรแกรม Adobe Reader มีฟังก์ชั่นความปลอดภัยที่เรียกว่า Sandbox (Protected Mode) ซึ่งทำให้การเจาะช่องโหว่ของแฮกเกอร์ทำได้ยากยิ่งขึ้น แต่ถึงกระนั้นแฮกเกอร์ก็ยังคงสามารถเจาะผ่านเข้ามาได้ แม้จะใช้เวลามากขึ้น

Indicators of Compromise (IoC)

ESET detection names
JS/Exploit.Pdfka.QNV trojan
Win32/Exploit.CVE-2018-8120.A trojan
SHA-1 hashes
C82CFEAD292EECA601D3CF82C8C5340CB579D1C6
0D3F335CCCA4575593054446F5F219EBA6CD93FE

Author: Anton Cherepanov
Source: https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/
Translated by: Worapon H.

%d bloggers like this: