在2018年上半年,我们见证了一些特别有趣的零日开发,包括一个闪光(CVE-2018-4878)最近的Internet Explorer(cve - 2018 - 8174). 前者很快就消失了由利用工具包(如Magnitude)使用然而,我们看到后者被更广泛地武器化只是时间问题。
现在,我们可以将AdobeReaderZeroDay添加到该列表中(CVE-2018-4990),这是ESET报告微软和微软已经修补好了。尽管尚未在野外观察到,但考虑到它与Microsoft Windows中的权限提升漏洞相结合,它仍然是一个危险的威胁。
要利用Windows漏洞进行攻击,攻击者必须写入内核空间中的任意地址,这对Windows 8及以上版本不起作用,因为较新的安全功能会阻止这种映射。这两个零天加在一起是逃离Acrobat Reader沙箱保护的必要条件,该沙箱保护已经大大提高了软件的安全性,以至于曾经作为驱动下载攻击的一部分常见的恶意PDF几乎消失了。
让我们快速看看恶意PDF使用pdf解析器:
python pdf-parser.py——内容CVE-2018-4990.pdf
我们可以看到一个可疑的模糊模糊的blurb,它很可能包含我们正在寻找的JavaScript代码。我们可以解码输出并将其转储到原始文件:
python pdf-parser.py -c CVE-2018-4990.pdf——object 1——filter——raw > output.raw
利用代码现在是可见的明文。有关如何将其用于ROP链和shellcode执行的详细说明,请参阅ESET文章.
我们对零日进行了测试必威平台APP,它已停止运行,无需任何其他更新。缓解措施发生在开发链的最开始(堆栈旋转):
我们建议用户为他们的系统打补丁,以防止这种威胁,它很可能很快就会被武器化。一个非常可信的攻击场景是恶意垃圾邮件活动中的PDF附件。
评论