I ricercatori di ESET hanno recentemente identificato un campione di PDF malevolo che sfrutta due vulnerabilità precedentemente sconosciute: una legata all’esecuzione di codice in modalità remota in Adobe Reader, e l’altra che consente l’escalation dei privilegi in Microsoft Windows. Il campione, scoperto all’interno di un archivio pubblico di sample pericolosi, non contiene una payload completamente definita, il che potrebbe suggerire che sia stato intercettato durante le sue prime fasi di sviluppo.
La prima falla di sicurezza (CVE-2018-4990) interessa Acrobat Reader e permette di avviare, all’apertura del documento, un JavaScript che modifica all’interno del PDF il codice di un “pulsante” che contiene un’immagine JPEG2000, creata appositamente allo scopo di attivare una vulnerabilità double free in Adobe Reader. Il JavaScript, a questo punto, attiva una shellcode, che a sua volta apre un file PE incorporato nel documento stesso e gli affida il processo di esecuzione.
La vulnerabilità di Windows (CVE-2018-8120) coinvolge invece un componente chiamato Win32k e consente al malware di ottenere privilegi per l’esecuzione in modalità kernel; a questo punto l’exploit sostituisce il token del processo corrente con il token di sistema.
L’uso combinato delle due vulnerabilità è estremamente potente, in quanto consente a un utente malintenzionato di eseguire un codice in maniera arbitraria con i massimi privilegi possibili sull’obiettivo vulnerabile e con la minima interazione dell’utente. I gruppi APT usano regolarmente tali combinazioni per eseguire i loro attacchi, come nella campagna Sednit dello scorso anno.
Una volta che il campione PDF è stato scoperto, ESET ha contattato e collaborato durante la correzione di questi bug con il Microsoft Security Response Center, il team di ricerca ATP di Windows Defender e il team di risposta agli incidenti di Adobe Product Security.
