ในช่วงเดือนมีนาคมที่ผ่านมานักวิจัยของ ESET ได้ผมสิ่งที่น่าสนใจในตัวอย่างไฟล์ PDF อันตราย ที่สามารถเจาะ 2 ช่องโหว่ในโปรแกรม Adobe Reader และ Microsoft Windows ได้
การรวม 2 ช่องโหว่ทำให้แฮกเกอร์สามารถออกคำสั่งใช้งานโค้ดกับเป้าหมายได้อย่างอิสระ และซ่อนตัวจากเจ้าของระบบได้เป็นอย่างดี เหมือนกับแผนการที่กลุ่มแฮกเกอร์ Sednit ใช้ในปีที่ผ่านมา
ทันทีที่ทาง ESET ได้รับตัวอย่างไฟล์ PDF อันตรายดังกล่าว ทาง ESET ได้ติดต่อทาง Microsoft Security Response Center, Windows Defender ATP research team, และ Adobe Product Security Incident Response Team เพื่อให้ดำเนินการแก้ไขโดยเร็ว
หมายเลขรหัสช่องโหว่ของ Adobe และ Microsoft คือ
มีผลกระทบต่อโปรแกรมเวอร์ชั่นดังต่อไปนี้:
- Acrobat DC (2018.011.20038 and earlier versions)
- Acrobat Reader DC (2018.011.20038 and earlier versions )
- Acrobat 2017 (011.30079 and earlier versions)
- Acrobat Reader DC 2017 (2017.011.30079 and earlier versions)
- Acrobat DC (Classic 2015) (2015.006.30417 and earlier versions)
- Acrobat Reader DC (Classic 2015) (2015.006.30417 and earlier versions)
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for Itanium-Based Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
PDF หรือ (Portable Document Format) เป็นชนิดของไฟล์อิเล็กทรอนิกส์ที่เป็นที่นิยม และแฮกเกอร์มักใช้ในการแพร่กระจายมัลแวร์สู่ผู้ใช้ เนื่องจากแฮกเกอร์สามารถดัดแปลงและใช้ช่องโหว่ของซอฟต์แวร์อ่าน PDF
โปรแกรม Adobe Reader มีฟังก์ชั่นความปลอดภัยที่เรียกว่า Sandbox (Protected Mode) ซึ่งทำให้การเจาะช่องโหว่ของแฮกเกอร์ทำได้ยากยิ่งขึ้น แต่ถึงกระนั้นแฮกเกอร์ก็ยังคงสามารถเจาะผ่านเข้ามาได้ แม้จะใช้เวลามากขึ้น
Indicators of Compromise (IoC)
| ESET detection names |
| JS/Exploit.Pdfka.QNV trojan |
| Win32/Exploit.CVE-2018-8120.A trojan |
| SHA-1 hashes |
| C82CFEAD292EECA601D3CF82C8C5340CB579D1C6 |
| 0D3F335CCCA4575593054446F5F219EBA6CD93FE |
Author: Anton Cherepanov
Source: https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
ในช่วงเดือนมีนาคมที่ผ่านมานักวิจัยของ ESET ได้ผมสิ่งที่น่าสนใจในตัวอย่างไฟล์ PDF อันตราย ที่สามารถเจาะ 2 ช่องโหว่ในโปรแกรม Adobe Reader และ Microsoft Windows ได้
การรวม 2 ช่องโหว่ทำให้แฮกเกอร์สามารถออกคำสั่งใช้งานโค้ดกับเป้าหมายได้อย่างอิสระ และซ่อนตัวจากเจ้าของระบบได้เป็นอย่างดี เหมือนกับแผนการที่กลุ่มแฮกเกอร์ Sednit ใช้ในปีที่ผ่านมา
ทันทีที่ทาง ESET ได้รับตัวอย่างไฟล์ PDF อันตรายดังกล่าว ทาง ESET ได้ติดต่อทาง Microsoft Security Response Center, Windows Defender ATP research team, และ Adobe Product Security Incident Response Team เพื่อให้ดำเนินการแก้ไขโดยเร็ว
หมายเลขรหัสช่องโหว่ของ Adobe และ Microsoft คือ
มีผลกระทบต่อโปรแกรมเวอร์ชั่นดังต่อไปนี้:
PDF หรือ (Portable Document Format) เป็นชนิดของไฟล์อิเล็กทรอนิกส์ที่เป็นที่นิยม และแฮกเกอร์มักใช้ในการแพร่กระจายมัลแวร์สู่ผู้ใช้ เนื่องจากแฮกเกอร์สามารถดัดแปลงและใช้ช่องโหว่ของซอฟต์แวร์อ่าน PDF
โปรแกรม Adobe Reader มีฟังก์ชั่นความปลอดภัยที่เรียกว่า Sandbox (Protected Mode) ซึ่งทำให้การเจาะช่องโหว่ของแฮกเกอร์ทำได้ยากยิ่งขึ้น แต่ถึงกระนั้นแฮกเกอร์ก็ยังคงสามารถเจาะผ่านเข้ามาได้ แม้จะใช้เวลามากขึ้น
Indicators of Compromise (IoC)
Author: Anton Cherepanov
Source: https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: