ESET виявила 0-day вразливості в Adobe Reader та Microsoft Windows

Фахівці ESET виявили незвичайний шкідливий PDF-файл. З'ясувалося, що у зразку використовуються дві раніше невідомі вразливості: вразливість віддаленого виконання коду (RCE) в Adobe Reader та вразливість підвищення привілеїв (LPE) у Microsoft Windows.

Комбінація двох 0-day досить небезпечна, оскільки відкриває атакуючим можливість виконувати довільний код у цільовій системі з максимальними привілеями та мінімальною участю користувача. АРТ-групи нерідко використовують подібні поєднання інструментів – наприклад, у кампанії Sednit минулого року.

Виявивши шкідливий PDF, фахівці ESET зв'язалися з Microsoft Security Response Center, командами Windows Defender ATP та Adobe Product Security Incident Response Team для закриття вразливостей.

Патчі та рекомендації Adobe і Microsoft доступні за такими посиланнями:

• APSB18-09 https://helpx.adobe.com/security/products/acrobat/apsb18-09.html
• CVE-2018-8120 https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8120

Уразливості схильні до наступних продуктів:

• Acrobat DC (2018.011.20038 та попередні версії)
• Acrobat Reader DC (2018.011.20038 та попередніх версій)
• Acrobat 2017 (011.30079 та попередні версії)
• Acrobat Reader DC 2017 (2017.011.30079 та попередні версії)
• Acrobat DC (Classic 2015) (2015.006.304) > • Acrobat Reader DC (Classic 2015) (2015.006.30417 та більш ранні версії)
• Windows 7 для 32-бітних систем Service Pack 1
• Windows 7 для x64-based Systems Service Pack 1
/> • Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for Itanium-Based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 R2 for Itanium -Based Systems Service Pack 1
• Windows Server 2008 R2 для x64-based Systems Service Pack 1

Технічний опис шкідливого зразка та вразливостей.

Файли PDF нерідко використовуються для доставки шкідливого програмного забезпечення на цільовий комп'ютер. Для виконання шкідливого коду атакуючим доводиться шукати та використовувати вразливості у програмному забезпечення для перегляду PDF. Одна з найпопулярніших подібних програм – Adobe Reader.

В Adobe Reader впроваджено технологію ізольованого виконання, більш відому як пісочницю – Protected Mode. Її детальний опис опубліковано у блозі Adobe. Пісочниця ускладнює реалізацію атаки: навіть якщо шкідливий код виконано, зловмиснику доведеться обійти захист пісочниці, щоб скомпрометувати комп'ютер із запущеним Adobe Reader. Як правило, для обходу пісочниці використовуються вразливості в операційній системі.

Рідкісний випадок, коли зловмисникам вдалося знайти вразливості та написати експлойти і для Adobe Reader, і для операційної системи.

CVE-2018-4990 – RCE-вразливість в Adobe Reader

У шкідливий PDF вбудований JavaScript-код, що управляє процесом експлуатації. Код виконується після відкриття PDF-файлу.

На початку процесу експлуатації JavaScript-код маніпулює об'єктом Button1. Об'єкт містить спеціально створене зображення JPEG2000, яке запускає подвійну вразливість.

JavaScript використовує техніку heap-spraying, щоб порушити внутрішні структури даних. Після цих маніпуляцій атакуючі досягають Головною метою є доступ до пам'яті з правами на читання та запис.

Використовуючи два примітиви, атакуючі знаходить адресу пам'яті плагіна EScript.api, що є движком Adobe JavaScript. Використовуючи ROP гаджети з цього модуля, шкідливий JavaScript встановлює ROP ланцюжок, який призведе до виконання нативного шелкоду.
Як останнього кроку, шовлкод ініціалізує PE файл, вбудований у PDF, і передає йому виконання.

CVE-2018-8120 – підвищення привілеїв у Microsoft Windows

Після експлуатації вразливості Adobe Reader зловмиснику необхідно позбавитися пісочниці. Це і є завдання другого експлойту.

В основі цієї раніше невідомої вразливості – функція NtUserSetImeInfoEx компонента ядра Windows win32k. Зокрема, SetImeInfoEx, підпрограма NtUserSetImeInfoEx не перевіряє покажчик даних, дозволяючи розіменувати нульовий (NULL) покажчик.

функція SetImeInfoEx очікує вказівник на ініціалізований об'єкт WINDOWSTATION як перший аргумент. SpklList може дорівнювати нулю, якщо атакуючий створює новий об'єкт WS і присвоює його поточному процесу в режимі користувача. Таким чином, мапінг нульової сторінки та встановлення покажчика на зміщення (offset) 0x2C дозволяє зловмисникам використовувати вразливість для запису на довільну адресу у просторі ядра. Варто відзначити, що, починаючи з Windows 8, процес користувача не може перетворити дані нульової сторінки.

Оскільки у атакуючих є довільний примітив, вони можуть використовувати різні техніки. Але в нашому випадку зловмисники вибирають техніку, описану Ivanlef0u, а також Mateusz «j00ru» Jurczyk та Gynvael Coldwin. Вони встановлюють шлюз виклику Ring 0, перезаписавши глобальну таблицю дескрипторів (GDT). Для цього зловмисники одержують адресу вихідної GDT, використовуючи інструкції зі складання SGDT, створюють власну таблицю і потім перезаписують оригінал з використанням згаданої вразливості.

Потім експлойт використовує команду CALL FAR для виклику рівня привілеїв.

Коли код виконується в режимі ядра, експлойт замінює струм поточного процесу системним токеном.

Фахівці ESET виявили шкідливий PDF, коли той був завантажений у публічний репозиторій шкідливих зразків. Семпл не містить фінального корисного навантаження, що може вказувати на те, що його було виявлено на ранніх етапах розробки. Незважаючи на це, автори продемонстрували високу кваліфікацію в галузі пошуку вразливостей та написання експлойтів.

Інші новини