微软发现两个Adobe 0day漏洞

  • A+
所属分类:网络安全新闻

微软发现两个Adobe 0day漏洞

微软公布了有人将有武器化的PDF文件上传到VirusTotal后最近发现的2个零天的技术细节。
来自微软的安全研究人员发布了两个零日漏洞的技术细节,这些漏洞是在有人向VirusTotal上传武器化PDF文件后最近发现的。

这两个问题是微软在2018年5月的补丁周二解决的,然后威胁演员在野外攻击中使用它。

第一个零日漏洞是Adobe Acrobat和Reader(CVE-2018-4990)中的远程代码执行缺陷,第二个漏洞是Microsoft Windows(CVE-2018-8120)中的特权升级漏洞。

“第一个漏洞会攻击Adobe JavaScript引擎,在该模块的上下文中运行shellcode。第二个漏洞不会影响Windows 10等现代平台,它允许shellcode转义Adobe Reader沙箱并使用Windows内核内存中提升的权限运行。ESET 对PDF样本中的 开发例程进行了分析。“阅读Microsoft发布的分析。

微软现在只分享了这两个漏洞的技术细节,因为它给了用户足够的时间来更新他们的操作系统和Adobe软件。

3月下旬,ESET的专家分析了一个上传到VirusTotal上的恶意PDF文件,并将其提供给了Microsoft安全团队。

专家们将该文件标记为“对未知Windows内核漏洞的潜在攻击”。

微软团队进行的分析显示该文档包含两个不同的零日攻击,一个用于Adobe Acrobat和Reader,另一个用于Microsoft Windows。

根据微软的说法,武器化的PDF文件还处于早期开发阶段,攻击者使用的代码出现了PoC代码,武器化文件没有提供恶意负载。

“虽然在VirusTotal中找到了PDF样本,但我们没有观察到使用这些漏洞进行的实际攻击。鉴于PDF本身没有提供恶意有效载荷并且似乎是概念验证(PoC)代码,该漏洞处于早期开发阶段。“读取微软发布的分析。

有人将这两个零天结合在一起构建了一个非常强大的攻击向量。

Adobe Acrobat和Reader漏洞利用程序作为特制的JPEG 2000映像包含在文档中,该映像包含用于触发软件中运行shellcode的双重漏洞的JavaScript漏洞利用代码。

攻击者试图利用第二个Windows内核漏洞链接此漏洞,打破Adobe Reader沙箱并以提升的权限运行它。

一旦攻击者利用Adobe Reader漏洞,他将利用Window零日漏洞逃离沙箱。Microsoft Win32k零日允许攻击者提升要运行的PE文件的权限,该文件在内核模式下运行,从而逃离Adobe Acrobat / Reader沙箱并获得系统级访问权限。

示例中使用的PoC有效内容在Startup文件夹中删除了一个空的vbs文件。

“最初,ESET研究人员在上传到恶意样本的公共存储库时发现了PDF样本。样本不包含最终有效负载,这可能表明它在早期开发阶段被捕获。“ ESET 总结道。

“即使样本中没有真正的恶意最终有效载荷,作者也表现出了高水平的漏洞发现和利用写作技能。”

无论 微软 和 ESET 发布的两个零天的技术细节,两家公司也分享了国际石油公司的漏洞。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: