شماره: IRCNE201004712
محققان امنيتي اعلام كردند شبكه رايانه هاي خرابكار زئوس در حال سوءاستفاده از يك نقص امنيتي اصلاح نشده در Adobe PDF، براي آلوده كردن رايانه كاربران است.
اين حملات كمتر از يك هفته بعد از پيش بيني محققان امنيتي در مورد سوءاستفاده قريب الوقوع هكرها از يك نقص امنيتي در طراحي تابع “/Launch” فايل هاي PDF، رخ داد.
اين نسخه جديد زئوس يك فايل PDF خرابكار را، كه كد حمله را در خود پنهان مي كند، مورد استفاده قرار داده است. زماني كه كاربر فايل جعلي PDF را باز مي كند، از او خواسته مي شود تا فايلي با نام Royal_Mail_Delivery_Notice.pdf را ذخيره كند. اين فايل در واقع يك فايل اجرايي ويندوز است كه در صورت اجرا، كنترل رايانه قرباني را در اختيار مي گيرد و آن را تبديل به زامبي (رايانه اي كه كنترل آن در دست خرابكاران است) مي كند.
شبكه رايانه هاي خرابكار (botnet) زئوس اولين شبكه خرابكار بزرگي است كه در حال سوءاستفاده از ويژگي /Launch در PDF است. در حقيقت نقص مذكور، يك آسيب پذيري امنيتي نيست بلكه خصوصيتي است كه در طراحي Adobe در نظر گرفته شده است.
در اوايل اين ماه يك محقق امنيتي به نام Didiert Stevens نشان داد كه چگونه مي توان در يك حمله چند مرحله اي و با استفاده از خصوصيت /Launch يك سوءاستفاده موفق را بر روي يك نسخه از Adobe Reader و Acrobat كه كاملاً به روز رساني امنيتي شده است، انجام داد.
شركت امنيتي Websense توانسته است چندين هزار حمله زئوس را از طريق مخفي كردن بدافزار در تابع /Launch ردگيري كند و به گفته شركت مزبور، اين حملات همچنان ادامه دارد.
شركت Adobe براي كاهش ميزان خطرات، از كاربران خواسته است تا امكان زير را در Adobe Reader و Acrobat غير فعال سازند.
Acrobat Preferences by selecting > Edit > Preferences > Categories > Trust Manager > PDF File Attachments and clearing (unchecking) the box
- 3