Blunder摧毁利用Windows和Reader漏洞的独角兽攻击

不是每天都有人开发恶意软件只需点击一次，就可以在两个截然不同的软件中利用单独的零日漏洞发起攻击。一个不小心的错误在使用之前毁了这种独角兽的现象则更为罕见。研究人员表示，这种罕见的攻击恰好发生在旨在针对Adobe Reader和旧版Microsoft Windows中的未修补漏洞的恶意PDF文档上。

现代应用程序通常包含“沙箱”和其他防御措施，使恶意攻击成功并在计算机上执行恶意代码变得更加困难。当这些保护措施按预期进度工作时，利用缓冲区溢出和其他常见软件漏洞的攻击会导致简单的应用程序崩溃，而不是潜在的灾难性安全事件。针对计算机的对这类事件的防御机制的破解需要攻击者将两个或更多的漏洞利用链接在一起：一个执行恶意代码，另一个利用漏洞允许代码跳出沙箱。

来自防病毒提供商Eset的安全研究人员最近发现了一个PDF文档，当Reader在较旧的Windows版本上运行时，它绕过了这些保护。它在Reader中利用了当时未被修补的内存损坏漏洞（称为double free），这使得读取和写入内存的能力受到限制。但是为了安装程序，PDF仍然需要绕过沙箱的方式，以便代码可以在操作系统的更敏感的部分运行。

“非常罕见”

该解决方案将单独的攻击组合在一起，该攻击利用了Windows 8之前的Microsoft操作系统中先前未知的特权升级漏洞。顾名思义，特权升级漏洞允许不受信任的代码或通常拥有有限系统权限的用户几乎无限制地访问操作系统最敏感的资源。因此，只需单击PDF即可在恶意软件的安装过程中安装恶意软件，这些恶意软件可以在许多Windows 7和Server 2008计算机上安装攻击者的选项。

Malwarebytes的首席恶意软件情报分析师JérômeSegura告诉Ars说：“在一款受欢迎的软件中利用这一漏洞是非常罕见的，这种漏洞与操作系统的零日结合在一起，以逃避沙盒保护。” “所涉及的技能水平表明攻击者相当先进。”

在最近的记忆中，研究人员已经破解了在去年年初利用两种不同组件的野外攻击漏洞攻击行为，当时一个恶意的Microsoft Word文件针对当时是法国总统候选人的Emmanuel Macron的。根据Eset，DOCX文件利用了Word中的远程代码执行漏洞和Windows中的本地特权升级漏洞。研究人员表示，该文件曾被用于安装Fancy Bear使用的监视恶意软件，该名称给黑客组织的研究人员普遍认为是由俄罗斯政府资助的。

奇怪的是，这次的PDF可以在Google所拥有的恶意软件检测服务VirusTotal上找到。文档正文仅提到“PDF样本”。Malwarebytes和Eset可疑攻击者都在开发过程中上传了该文件，以测试各种防病毒提供程序是否可以检测到该文件。

该文件并非安装恶意软件，而是简单地下载并安装了一个计算器程序。在攻击者可以广泛使用PDF之前，Eset发现了它并将漏洞报告给Microsoft和Adobe。微软在11天前修复了特权升级漏洞。Adobe 在周一修补了Reader。因此，这个先进的人或小组的成果被破坏了。

尽管该利用恶意软件需要时间和技能来开发，但其价值至少受到两个原因的限制。首先，微软在Windows 8中引入的改进防御措施阻止了特权升级漏洞的利用。其次，Malwarebytes AV能够检测到恶意PDF并阻止它正常工作，并且很可能其他AV程序具有相同的能力。尽管如此，PDF可能在针对使用旧电脑的用户的广告系列中很有用。