論及檢視PDF檔案,許多用戶會採用Acrobat Reader,如今有多位研究員發現,有人在數個月前找到尚未公開揭露的零時差漏洞並發動攻擊。
相關活動最早是研究員Haifei Li於4月7日提出警告,他建置的資安威脅監控系統ExpMon偵測到有問題的PDF檔案,經進一步分析後,判定此漏洞具備收集資料與洩露的能力,攻擊者還能遠端執行任何程式碼(RCE),並進行沙箱逃逸(SBX),當中利用了Acrobat Reader零時差漏洞,此弱點允許攻擊者執行特殊權限的API,影響最新版本的Acrobat Reader。
根據Haifei Li對於漏洞危險的說明,攻擊者可收集用戶資訊、竊取本機資料,並彙整受害電腦的系統指紋(Fingerprinting),以供後續攻擊活動運用。除此之外,若是受害電腦符合特定條件,攻擊者還能執行任意程式碼,或是從沙箱隔離中逃脫。
隔天他更新部落格文章內容,指出有人發現新的漏洞利用檔案的變種,值得留意的是,此檔案於去年11月28日就上傳到VirusTotal,代表此零時差漏洞的利用活動已持續長達近半年。
威脅情報分析師Gi7w0rm指出,在利用Adobe Reader零時差漏洞的活動裡,駭客使用了俄文誘餌,內容提及俄羅斯石油與天然氣產業時下議題。而對於漏洞的部分,Gi7w0rm指出與其中的JavaScript引擎有關。
另一名資安研究員Giuseppe Massaro(N3mes1s)於4月8日發布完整調查報告,指出他針對兩個利用零時差漏洞的PDF檔案進行分析,結果發現駭客藉此採集受害電腦的系統指紋,將電腦裡的資料傳送到C2伺服器,並下載經AES演算法處理的JavaScript有效酬載並執行。
經過VirusTotal檢測,在77個防毒引擎的分析之下,只有6個將其視為有害。Massaro指出,駭客使用專門的基礎設施,C2伺服器還能額外過濾受害者,只有在確認是攻擊目標的情況下才會傳遞有效酬載,他認為攻擊者很可能是專業的APT駭客,或是背後有國家資助。
這些PDF檔案的內容,都是針對俄語使用者,目標有可能是政府機關、能源機構,或是關鍵基礎設施相關企業。PDF檔案都是使用Python程式庫PyMuPDF製作,沒有標題、作者、建立日期等中繼資料,而且都是以圖片的方式呈現,使用者無法選取其中的文字內容。
Massaro提及此零時差漏洞涵蓋兩種層面的弱點,第1種是透過內部特定的API注入JavaScript指令碼,該指令碼會觸發另一個與原型汙染有關的弱點,從而提升權限,最終得到能呼叫任何Acrobat API能力的完整權限。
