Saturday, February 21, 2009

ระวังการโจมตีแบบ Zero-day ผ่านทางไฟล์ PDF

มีการเตือนจากบริษัทผู้พัฒนาโปรแกรมรักษาความปลอดภัย ให้ผู้ที่ใช้โปรแกรม Adobe Reader 9 และ Acrobat 9 ระวังการโจมตีจากมัลแวร์ โดยการโจมตีนี้จะเป็นแบบ Zero-day attack เนื่องจากเป็นการโจมตีผ่านทางช่องโหว่ที่ยังไม่มีแพตช์สำหรับแก้ไขครับ

    • Adobe ได้ออกประกาศเตือนผู้ใช้ให้ระวังการการโจมตีจากแฮกเกอร์ผ่านทางช่องโหว่ Buffer overflow ของโปรแกรม Adobe Reader 9 และ Acrobat 9 ซึ่งช่องโหว่ดังกล่าวนี้มีความร้ายแรงระดับวิกฤติ

โดยช่องโหว่ Buffer overflow ใน Adobe Reader 9 และ Acrobat 9 มีผลกระทบให้โปรแกรมทำงานผิดพลาดจนเกิดการแครชและแฮกเกอร์สามารถใช้เป็นช่องทางในการเข้าควบคุมระบบได้ ซึ่งมีรายงานว่ามีการพัฒนาโค้ดสำหรับการโจมตีช่องโหว่นี้แล้ว

สำหรับการออกแพตช์เพื่อปิดช่องโหว่นี้ ปัจจุบันยังอยู่ในขั้นตอนของการพัฒนา โดยแพตช์สำหรับ Adobe Reader 9 และ Acrobat 9 นั้นมีกำหนดแล้วเสร็จในวันที่ 11 มีนาคม 2552 หลังจากนั้นทาง Adobe จึงจะออกอัพเดทสำหรับ Adobe Reader 7 และ Acrobat 7 โดยในระหว่างที่รอการออกแพตช์ Adobe แนะนำให้ผู้ใช้ทำการอัพเดทโปรแกรมป้องกันไวรัส และไม่ควรทำการเปิดไฟล์ PDF ที่ได้รับจากแหล่งที่ไม่รู้จักโดยเฉพาะที่ได้รับทางอีเมล

    • ในขณะเดียวกันทาง McAfee และ Trend Micro ก็ได้เตือนผู้ใช้ถึงการโจมตีของมัลแวร์ผ่านทางช่องโหว่นี้ด้วยเช่นกัน โดย Trend Micro เรียกมัลแวร์นี้ว่า TROJ_PIDIEF.IN ซึ่งจะก็อปปี้มัลแวร์ BKDR_NETCL.A และ EXPL_EXECOD.A ลงระบบด้วย ในขณะที่ McAfee ให้รายละเอียดว่าการโจมตีนี้ใช้วิธีการ “HeapSpray” ผ่านทาง JavaScript ในการควบคุมเอ็กซีคิวท์โค้ด


ตัวอย่างโค้ดไวรัส (ภาพจาก: McAfee)

แหล่งข้อมูลอ้างอิง
• http://news.cnet.com/8301-1009_3-10168266-83.html
• http://www.adobe.com/support/security/advisories/apsa09-01.html
• Trend Micro: http://blog.trendmicro.com/portable-document-format-or-portable-malware-format/
• McAfee: http://www.avertlabs.com/research/blog/index.php/2009/02/19/new-backdoor-attacks-using-pdf-documents/

Copyright © 2009 Thai Windows Administrator Blog, All Rights Reserved.

0 Comment: