本件のセキュリティ問題について下記の製品に影響があります。
Adobe Readerバーション9.3.4
OS: Microsoft Windows
本問題の再現仕方がインターネットで交換されている状況ですので、本件のセキュリティ問題を使っているマルウェアサンプルも昨日発見しました。
下記はサンプルの説明となります。
下記の画像のメールに悪戯PDFファイルを添付されている状況です。
ハニーポットでのメールヘッター情報は下記となります↓
Received: from n54b.bullet.mail.sp1.yahoo.com (HELO n54b.bullet.mail.sp1.yahoo.com) (98.136.45.27)
by XXXXXXXXXXXXXX 6 Sep 2010 12:01:15 -0000
Received: from [216.252.122.219] by n54.bullet.mail.sp1.yahoo.com with NNFMP; 06 Sep 2010 12:01:15 -0000
Received: from [67.195.9.83] by t4.bullet.sp1.yahoo.com with NNFMP; 06 Sep 2010 12:01:13 -0000
Received: from [98.137.27.131] by t3.bullet.mail.gq1.yahoo.com with NNFMP; 06 Sep 2010 12:01:12 -0000
Received: from [127.0.0.1] by omp205.mail.gq1.yahoo.com with NNFMP; 06 Sep 2010 12:01:12 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 377446.77522.bm@omp205.mail.gq1.yahoo.com
Received: (qmail 48048 invoked by uid 60001); 6 Sep 2010 12:01:10 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1283774469; bh=0bBYYw2sHC3o3o1Cge7uqebfpzmUxLED7NttMeJ98XU=; h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type; b=FT8rFCjZWvWpJRZlFH/IvOY4xAcfQHG76ZwZaB4omENDYEI+ONxzv1Pbl12p43UKQI5exuQ14Hp713EAd+BGOISFvXv6ghtE726NtS7YMsfUWuh8uV4RgIk3VGfuumsse8aJLKrSj+Rtc5S8xpbK7JBQ7od1FE9smnFM8d+PbmI=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.com;
h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type;
b=NU+wudJNMZectofoD5PEUnK3AOa7nPcx7hbz0ZqMsfYxivvLXhrs/fUhgCQR+2SsbSxZn2cf07+/A2qhVPFwnmT2CQprPBBdY6CvPIs0A1yxQYRw6PprOsp46CY/11LgZ+it0O/f0fYSY+JxrOYNpy2zLQsbI7ldyRli17khOkE=;
Message-ID: <855752.47126.qm@web120112.mail.ne1.yahoo.com>
X-YMail-OSG: dJDX4QcVM1nYoU7AoyRsmcivnwc9vgOThtwyE9kxdR_BvWm
2dmWsAd8xXToAMpljbsjZUKbqVhD4DTgT.rvPy51_.X7KdNFfxEv4EAEQLa8
cwqYRZnnyfsiYs6a8f2THPAmXvbMjNfhp6a4TfFKJ9PEAjjmbBosHCY5GFER
XI_2DV2cE8OR8ODZ.KKVxB257zt4efSCnAIf8ioqECNvnXY7fc4iwwLVVxVT
C7rsukcBDFR1uNn6jNx_d2.s2KA--
Received: from [193.106.85.61] by web120112.mail.ne1.yahoo.com via HTTP; Mon, 06 Sep 2010 05:01:09 PDT
X-Mailer: YahooMailRC/470 YahooMailWebService/0.8.105.279950
Date: Mon, 6 Sep 2010 05:01:09 -0700
From: Thomas Bennett
Subject: David Leadbetter's One Point Lesson
To: xxxxxxxxxxxxxxxxx
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-625861097-1283774469=:47126"
193.106.85.61
Hostname: 193.106.85.61
ISP: Centrum-IT Magdalena Wietrzak
Organization: Centrum-IT Magdalena Wietrzak
Proxy: Confirmed proxy serverCountry: Poland
City: Sosnowiec
by XXXXXXXXXXXXXX 6 Sep 2010 12:01:15 -0000
Received: from [216.252.122.219] by n54.bullet.mail.sp1.yahoo.com with NNFMP; 06 Sep 2010 12:01:15 -0000
Received: from [67.195.9.83] by t4.bullet.sp1.yahoo.com with NNFMP; 06 Sep 2010 12:01:13 -0000
Received: from [98.137.27.131] by t3.bullet.mail.gq1.yahoo.com with NNFMP; 06 Sep 2010 12:01:12 -0000
Received: from [127.0.0.1] by omp205.mail.gq1.yahoo.com with NNFMP; 06 Sep 2010 12:01:12 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 377446.77522.bm@omp205.mail.gq1.yahoo.com
Received: (qmail 48048 invoked by uid 60001); 6 Sep 2010 12:01:10 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1283774469; bh=0bBYYw2sHC3o3o1Cge7uqebfpzmUxLED7NttMeJ98XU=; h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type; b=FT8rFCjZWvWpJRZlFH/IvOY4xAcfQHG76ZwZaB4omENDYEI+ONxzv1Pbl12p43UKQI5exuQ14Hp713EAd+BGOISFvXv6ghtE726NtS7YMsfUWuh8uV4RgIk3VGfuumsse8aJLKrSj+Rtc5S8xpbK7JBQ7od1FE9smnFM8d+PbmI=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.com;
h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type;
b=NU+wudJNMZectofoD5PEUnK3AOa7nPcx7hbz0ZqMsfYxivvLXhrs/fUhgCQR+2SsbSxZn2cf07+/A2qhVPFwnmT2CQprPBBdY6CvPIs0A1yxQYRw6PprOsp46CY/11LgZ+it0O/f0fYSY+JxrOYNpy2zLQsbI7ldyRli17khOkE=;
Message-ID: <855752.47126.qm@web120112.mail.ne1.yahoo.com>
X-YMail-OSG: dJDX4QcVM1nYoU7AoyRsmcivnwc9vgOThtwyE9kxdR_BvWm
2dmWsAd8xXToAMpljbsjZUKbqVhD4DTgT.rvPy51_.X7KdNFfxEv4EAEQLa8
cwqYRZnnyfsiYs6a8f2THPAmXvbMjNfhp6a4TfFKJ9PEAjjmbBosHCY5GFER
XI_2DV2cE8OR8ODZ.KKVxB257zt4efSCnAIf8ioqECNvnXY7fc4iwwLVVxVT
C7rsukcBDFR1uNn6jNx_d2.s2KA--
Received: from [193.106.85.61] by web120112.mail.ne1.yahoo.com via HTTP; Mon, 06 Sep 2010 05:01:09 PDT
X-Mailer: YahooMailRC/470 YahooMailWebService/0.8.105.279950
Date: Mon, 6 Sep 2010 05:01:09 -0700
From: Thomas Bennett
Subject: David Leadbetter's One Point Lesson
To: xxxxxxxxxxxxxxxxx
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-625861097-1283774469=:47126"
193.106.85.61
Hostname: 193.106.85.61
ISP: Centrum-IT Magdalena Wietrzak
Organization: Centrum-IT Magdalena Wietrzak
Proxy: Confirmed proxy serverCountry: Poland
City: Sosnowiec
添付されたPDFをVIRUSTOTALでスキャンしたら結果が出ませんでした↓
PDFの中に見たらいくつかあやしいjavascriptが発見されましたけど、ウイルス対策ソフトは昨日の時点では未だ発見出来なかった。続いてvicheckで確認しましした、下記の結果が出ます↓
では、添付されたPDFを実行したら、先ずはPDFでクラッシュ又はIEがクラッシュしてしまい、javascriptのエクスプロイトで %tmp% フォルダーに下記の画像のファイルをダウンロードされてしまいました。その中にあるファイルwinhelp32.exeですが、実行されると124.217.255.232:80のIPに繋ぎます、それと色々あやしいプロセスが立ち上がるので…
この問題をAdobe社にレポートされています(今日朝JST)、確認はこちらへ
さらに、今日の午後JSTで下記のVirusTotalの結果が出ました↓
http://www.virustotal.com/file-scan/report.html?id=d55aa45223606db795d29ab9e341c1c703e5a2e26bd98402779f52b6c2e9da2b-1284006514
では、本問題のパッチが必要です、Adobe社よりパッチを御待ちしております。パッチが出るまでに本件は完全にゼロデイです。
----
http://0day.jp
ゼロデイ・リサーチチーム
アドリアン・ヘンドリック
0 件のコメント:
コメントを投稿