Новые незакрытые уязвимости в Adobe Reader и Acrobat

Symantec сообщила об обнаружении интернет-активности, эксплуатирующей новые уязвимости нулевого дня (CVE-2013-0640, CVE-2013-0641) в продуктах Adobe Reader и Adobe Acrobat XI и более ранних версий. Компания Adobe пока не выпустила исправления по этим уязвимостям, но опубликовала рекомендации по противодействию эксплуатирующим их атакам.

Изначально интернет-сообщество опиралось на отчёт о новой 0day уязвимости, опубликованный компанией FireEye. В нём сообщалось, что в результате её успешной эксплуатации на компьютер были загружены несколько файлов. Анализ экспертов Symantec подтверждает такую возможность. По данным компании, атака проходит следующим образом: вредоносный PDF-файл устанавливает DLL-библиотеку под названием D.T; D.T декодирует и устанавливает DLL-библиотеку под названием L2P.T; L2P.T, в свою очередь, создает в реестре ключи автозапуска и загружает на компьютер библиотеку-загрузчик LangBar32.dll; затем LangBar32.dll с C&C сервера хакеров скачивает дополнительное вредоносное ПО с бэкдор- и кейлоггер-функционалом. На этих этапах атаки продукты Symantec идентифицируют вредоносные программы как Trojan.Pidief и Trojan.Swaylib.

Помимо этого, с целью выявления данного эксплойта была выпущена сигнатура для системы предотвращения вторжений (IPS) Web Attack: Malicious PDF File Download 5. Как сообщили в Symantec, дальнейшее исследование показало, что PDF-файл, примененный в атаке, нейтрализуется продуктом Symantec Mail Security, а используемые в ходе атаки PDF-файлы идентифицируются облачными технологиями.