0x06 vulnerability2011. 3. 15. 05:30





http://www.adobe.com/support/security/advisories/apsa11-01.html


SUMMARY

A critical vulnerability exists in Adobe Flash Player 10.2.152.33 and earlier versions (Adobe Flash Player 10.2.154.13 and earlier for Chrome users) for Windows, Macintosh, Linux and Solaris operating systems, Adobe Flash Player 10.1.106.16 and earlier versions for Android, and the Authplay.dll component that ships with Adobe Reader and Acrobat X (10.0.1) and earlier 10.x and 9.x versions of Reader and Acrobat for Windows and Macintosh operating systems.

This vulnerability (CVE-2011-0609) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being exploited in the wild in targeted attacks via a Flash (.swf) file embedded in a Microsoft Excel (.xls) file delivered as an email attachment. At this time, Adobe is not aware of attacks targeting Adobe Reader and Acrobat. Adobe Reader X Protected Mode mitigations would prevent an exploit of this kind from executing.

We are in the process of finalizing a fix for the issue and expect to make available an update for Flash Player 10.x and earlier versions for Windows, Macintosh, Linux, Solaris and Android, and an update for Adobe Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh, Adobe Reader X (10.0.1) for Macintosh, and Adobe Reader 9.4.2 and earlier 9.x versions during the week of March 21, 2011. Because Adobe Reader X Protected Mode would prevent an exploit of this kind from executing, we are currently planning to address this issue in Adobe Reader X for Windows with the next quarterly security update for Adobe Reader, currently scheduled for June 14, 2011.

AFFECTED SOFTWARE VERSIONS

  • Adobe Flash Player 10.2.152.33 and earlier versions for Windows, Macintosh, Linux and Solaris operating systems
  • Adobe Flash Player 10.2.154.13 and earlier for Chrome users
  • Adobe Flash Player 10.1.106.16 and earlier for Android
  • The Authplay.dll component that ships with Adobe Reader and Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh operating systems.

NOTE: Adobe Reader 9.x for UNIX, Adobe Reader for Android, and Adobe Reader and Acrobat 8.x are not affected by this issue.

SEVERITY RATING

Adobe categorizes this as a critical issue.

DETAILS

A critical vulnerability exists in Adobe Flash Player 10.2.152.33 and earlier versions for Windows, Macintosh, Linux and Solaris operating systems (Adobe Flash Player 10.2.154.13 and earlier for Chrome users), Adobe Flash Player 10.1.106.16 and earlier versions for Android, and the authplay.dll component that ships with Adobe Reader and Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh operating systems.

This vulnerability (CVE-2011-0609) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being exploited in the wild in targeted attacks via a Flash (.swf) file embedded in a Microsoft Excel (.xls) file delivered as an email attachment. Adobe is not currently aware of attacks targeting Adobe Reader and Acrobat. Adobe Reader X Protected Mode mitigations would prevent an exploit of this kind from executing.

We are in the process of finalizing a fix for the issue and expect to make available an update for Flash Player 10.x and earlier versions for Windows, Macintosh, Linux, Solaris and Android, and an update for Adobe Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh, Adobe Reader X (10.0.1) for Macintosh, and Adobe Reader 9.4.2 and earlier 9.x versions during the week of March 21, 2011. Adobe Reader X Protected Mode mitigations would prevent an exploit of this kind from executing. Because Adobe Reader X Protected Mode would prevent an exploit of this kind from executing, we are currently planning to address this issue in Adobe Reader X for Windows with the next quarterly security update for Adobe Reader, currently scheduled for June 14, 2011.

Adobe Reader 9.x for UNIX, Adobe Reader for Android, and Adobe Reader and Acrobat 8.x are not affected by this issue.

Users may monitor the latest information on the Adobe Product Security Incident Response Team blog at http://blogs.adobe.com/psirt or by subscribing to the RSS feed at http://blogs.adobe.com/psirt/atom.xml.

Adobe actively shares information about this and other vulnerabilities with partners in the security community to enable them to quickly develop detection and quarantine methods to protect users until a patch is available. As always, Adobe recommends that users follow security best practices by keeping their anti-malware software and definitions up to date.




http://www.securelist.com/en/blog/6102/New_Adobe_Zero_Day_Under_Attack





다음주쯤에 패치를 발표한다고 하는군요..

http://blogs.adobe.com/asset/2011/03/background-on-apsa11-01-patch-schedule.html





Posted by demantos
0x02 analysis2009. 12. 16. 16:27


New Adobe Reader and Acrobat Vulnerability

어도비 리더와 아크로뱃에서 새로운 취약점이 나왔다고 합니다.
어도비 리버와 아크로뱃 9.2버전 이하에서 해당 취약점을 통해 공격이 가능하다고 합니다.

구글링 중 미국 블로거를 통해 샘플을 확보해서 분석해 봤습니다. (Thanks Mila)

이미 바이러스랩님 블로그(http://viruslab.tistory.com/1364) 와 안랩ASEC(http://blog.ahnlab.com/asec/211)에 글이 실린것으로 보아 두개의 백신업체에서는 패턴을 만들고 있을 것으로 보입니다.




위 두개의 포스팅에서 얻은 정보를 토대로 - 0x37761부터 PE 파일이라는 정보 - exe 파일을 만들어 보았습니다.




아이콘이 상당히 조악한 파일이었습니다. 파일 설명은 "OfficeUpdate MFT 응용 프로그램" 입니다.

파일을 실행하면 http://update.microsoft.com/windowsupdate/v6/default.aspx을 요청합니다. 정상적인 요청은 아닌것으로 보이며 단순 눈속임으로 보입니다. 이 파일이 실행되면서 임시 파일을 만드는데 패킷을 떠보면 그 임시파일의 내용이 Response와 동일합니다.

디버거로 확인한 내용




패킷 덤프 내용




임시파일 내용




update.microsoft.com에 접속은 하지만 정상 사이트에서 오는 response는 무시해버리고 임시 파일에 있는 내용으로 대체하는 것으로 보입니다.

그런 후 hxxp://foruminspace.com/documents/dprk/ab.exe 를 요청하지만 파일이 없습니다. -_-;;
일단 악성도메인이니 막아야할 것으로 보입니다.

pdf를 실행하나 exe를 실행하나 동일한 현상을 나타내고 pdf 파일을 실행하면 아래와 같은 에러 메시지를 보여줍니다.




아래 루틴은 추가 악성코드를 다운로드하는 URL을 만들어내는 루틴입니다.




특정 위치의 값을 가져와서 XOR 연산을 합니다. 그러면서 실제 URL이 한글자씩 나오고 있습니다.

악성 pdf는 샘플을 두개 구했는데 모두 동일한 것으로 보입니다.
파일 사이즈도 동일하고 해쉬값도 동일하고 추가 악성코드 다운로드 경로도 동일합니다.


추가 악성코드 다운로드가 안되기 때문에 큰 문제는 없을 것으로 보이지만 패치가 나오기 전까지 조심하는게 좋을 것 같습니다.



갑자기 생각이 든게 foruminspace.com 사이트에 지금은 파일이 없는데
감염된 사람들은 이 사이트에 접속해서 파일을 요청을 하긴 할 것이고
얼마나 많이 접속하는지 확인하고나서 쫌 된다...싶으면
실제 파일 올려서 2차 감염시키는 행동을 하지 않을까...

이런 생각이 듭니다.

좀 더 추이를 살펴봐야 할 듯...

패치는 2010년 1월 12일경에 나올꺼라고 합니다.

그 전까지는 조심해야겠지요..







Posted by demantos