Загруженные на VirusTotal эксплоиты оказались частью мощного кибероружия

Эксперты Microsoft поделились подробностями о двух уязвимостях нулевого дня в Adobe Acrobat, Adobe Reader и Microsoft Windows, о которых стало известно после того, как некто загрузил в публичный репозиторий на VirusTotal вредоносный PDF файл. Документ был выявлен в конце марта нынешнего года специалистами компании ESET, передавшими данные команде Microsoft с формулировкой «потенциальный эксплоит для неизвестной уязвимости в ядре Windows».

В ходе анализа оказалось, что файл содержит два эксплоита - один для RCE (удаленное выполнение кода) уязвимости в Adobe Acrobat/Reader ( CVE-2018-4990 ), второй - для проблемы повышения привилегий в Windows ( CVE-2018-8120 ). Документ находился на ранних стадиях разработки и не обладал какими-либо вредоносными функциями. Судя по всему, его автор использовал уязвимости для создания «мощного кибероружия» и по ошибке загрузил эксплоиты на VirusTotal.

По словам исследователей, первый эксплоит «атакует движок Adobe JavaScript для выполнения шелл-кода в контексте данного модуля, а второй позволяет шелл-коду выйти из окружения песочницы Adobe Reader и исполниться с повышенными привилегиями». Как отмечается, уязвимость CVE-2018-8120 затрагивает только версии Windows 7, Windows Server 2008 и Windows Server 2008 R2.

Несмотря на отсутствие в PDF файле вредоносной полезной нагрузки, эксперты отмечают высокий профессионализм его разработчиков. Microsoft устранила уязвимость CVE-2018-8120 в рамках майского пакета обновлений. Пользователям рекомендуется установить патчи как можно скорее.

Источник