フォティーンフォティ技術研究所 先端技術研究部の本郷です。

11月7日、ロシアのセキュリティ企業 Group-IB により、Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性が確認されています。

http://www.group-ib.com/index.php/7-novosti/672-group-ib-us-zero-day-vulnerability-found-in-adobe-x%22

同社によると Exploit はブラックマーケットで 30,000 ~ 50,00 USD で取引されており攻撃ツールである Blackhole Exploit-Kit に既に組み込まれているとのことです。

現時点で有効な対策はなく、情報が提供されるまでの間は Adobe Reader を使用しないことをお勧めします。

YouTube で検証コード(PoC) を実行した動画が公開されています。

Adobe Reader の設定で JavaScript を無効にしていても攻撃は成立するようです。

http://www.youtube.com/watch?v=uGF8VDBkK0M&feature=youtu.be

なお Adobe Systems 社からこの脆弱性に対するアナウンスは出ておらず、今後の情報に注意する必要があります。

弊社にも情報が入り次第、公開させていただきます。

Adobe Reader といえば、先月新しいセキュリティ機能を備えた XI がリリースされたばかりでした。

http://blogs.adobe.com/asset/2012/10/new-security-capabilities-in-adobe-reader-and-acrobat-xi-now-available.html

2009 年 Adobe Reader の脆弱性は多くの攻撃に利用されており、それを受け Adobe Systems 社は Microsoft や Google の開発チームの協力の下、サンドボックス機能(プロテクトモード)を備えた Adobe Reader X を 2010 年にリリースしました。

上記リンクの Adobe Reader XI リリース時のアナウンスによると、Adobe Reader X のサンドボックス機能を迂回する exploit は先月までなかったとのことです。

サンドボックス機能は Adobe Reader だけでなく Google Chrome やMicrosoft Office などにも利用されており、今回の脆弱性がサンドボックス攻略の糸口とされる可能性は十分に考えられます。

参考までに Adobe Reader XI で追加された主な機能をご紹介します。

・Enhanced Protected Mode

Adobe Reader X のサンドボックス機能はマルウェアをインストールするなどターゲットの PC に対する書き込みに対する防御に特化していましたがXI からは情報の収集などの読み込み処理に対する防御機能が追加されました。

・Force ASLR への対応

Windows 7 および 8 で動作する Force ASLR 機能が追加されています。

ASLR 回避のテクニックとして、ASLR を適用していないモジュールを利用してexploit を成功させる方法があり、ASLR が適用されていないモジュールが問題になっていましたが、Force ASLR 機能が追加されたことによりメモリアドレスのランダム化が適用され、より攻撃が成功しづらくなっています。

関連記事

インターネットバンキングを狙った攻撃について

FFRI-Tech-Meeting #2

Monthly Research「Windows 8 セキュリティ第三回」

情報提供: FFRI BLOG