Groźne podatności 0-day ujawnione dzięki Virustotal
Wydarzenie Nawigacja
Niedawne wydarzenia udowodniły, że rola popularnego serwisu online do skanowania plików
najpopularniejszymi programami antywirusowymi nie ogranicza się jedynie do weryfikowania nieznanych plików przez ostrożnych użytkowników komputerów.
Virustotal służy także autorom tzw. antywirusów do zbierania próbek – w szczególności nieznanego – malware. Zapewne nie wiedziała tego osoba, która przesłana do analizy online plik PDF wykorzystujący 2 publicznie nieznane do tej pory podatności: jedną w Acrobat Readerze, drugą w jądrze systemu Windows (na szczęście na wersje starsze od 10). Podatności zostały oznaczone jako CVE-2018-4990 oraz CVE-2018-8120. Obie stanowią pewną całość pozwalającą przejąć komputer ofiary, która uruchomi “zatrutego” PDF-a. Pierwsza z nich uruchamia kod atakującego w kontekście procesu Acrobat Readera, który jednak działa w tzw. piaskownicy (ang. sandbox). Tutaj z pomocą atakującym przychodzi 2-ga podatność, która umożliwia eskalację przywilejów i ucieczkę z sandboxa. Kody wykorzystujące podatności (tzw. eksploity) są dość zaawansowane – wykorzystują takie techniki jak heap spraying, ROP czy NULL page dereference co pozwala sądzić, że “gafę” z upublicznieniem eksploitów popełnił ktoś inny niż ich autor. Szczegóły są dostępne na stronie Microsoftu (1).
