Nytt kritisk Adobe-hull

Nytt kritisk Adobe-hull

Du kan angripes akkurat nå. Adobe jobber på høygir med å tette hullet.

I går ble en ny Adobe-sårbarhet gjort kjent. Et hull i Adobe Reader brukes aktivt for å infisere datamaskiner med ondsinnet programvare. Sårbarheten ligger i håndteringen av minne og grafikk.

Lockheed Martin Computer Incident Response Team og MITRE krediteres med å ha oppdaget og rapportert om situasjonen til Adobe. Lockeed Martin er et stort selskap som jobber mot det militære og sistnevnte er en informasjonsdelingsorganisasjon for nettopp forsvarsindustrien.

En rekke industrier under angrep

De fleste i sikkerhetsindustrien tror derfor forsvarsindustrien er et hett angrepsmål. Symantec tror også det – men legger også til et par andre industrier i lista.

- Vi har sett dette rette seg mot folk innen telekommunikasjon, fabrikkindustrien, maskinvare og kjemiske selskaper, i tillegg til dem i forsvarsindustrien, sier Joshua Talbot i Symantecs sikkerhetsresponsgruppe til Computerworlds nyhetstjeneste.

De har gått gjennom sitt såkalte honeypot-nettverk, et stort sett maskiner Symantec har stående tilgjengelig for angrep fordi de bruker dem til analyse, og der har de funnet epost-beskjeder med ondsinnede PDf-dokumenter. Det er på bakgrunn av info fra sitt honeypot-nett de baserer konklusjonen om hvem angriperne særlig er ute etter.

Funnet i honningfella

Symantec har funnet angreps-epost datert 1. november og 5. november i datasettet sitt. Lokkemiddelet skurkene har brukt er å utgi PDF-filen for å inneholde kontraktrelatert informasjon i alle angrepsfosøkene som har havnet i Symantecs honningfeller.

Den ondsinnede programvaren som blir kjørt når PDF-filene åpnes er ifølge Talbot identisk med det som ble brukt i 2010-angrepet mot et da ulappet hull i Internet Explorer 6 og 7, som Symantec døpte Sykipot.

- Det er ikke oversofistikert. Det er en generell bakdør. En av de interessante tingene med det er at det brukes en form for kryptering for å lage stjålet informasjon, slik at angriperen skjuler hva som faktisk har blitt stjålet.

Styringen av bakdøren skjer ved hjelp av kommando- og kontrollservere som fortsatt er i drift.

Prioritert

Fordi angrepsformen ligner på Sykipot mistenker Symantec at samme hackergruppe står bak.

Selv om brevene i Symantecs honningfeller ble forsøkt angrepet i tidlig november, ville det ikke sjokkert Talbot om angrepene kom i en ny runde i påvente av at Adobe lapper hyllet.

Adobe har lapping av sårbarheten som høy prioritet.

- Vi er i prosessen med å ferddiggjøre en fiks for dette problemet og forventer å gjøre tilgjengelig en oppdatering intet senere enn i løpet av neste uke, sier de i en sikkerhetsbulleteng.

Les om hvilke versjoner som er i fare her.

Les om: