В ходе атаки используется брешь в формате файлов PDF. Вредоносный код добавляется к обычным файлам PDF и при их открытии атакует систему.
Ранее Конвей, работающий менеджером по продуктам в компании NitroSecurity, уже представлял технологию внедрения вредоносного кода в файлы PDF. Но его атака срабатывала лишь в случае присутствия в системе другой вредоносной программы, которая и добавляла нужный код. Все изменилось после того, как исследователь Дидье Стивенс продемонстрировал порядок изменения документа PDF с последующим запуском исполняемого файла на компьютере жертвы.
"Когда я узнал о способе, предложенном Дидье, мне впервые удалось проделать все необходимое внутри файла PDF", -- сообщил Конвей.
Хакерам уже давно было известно, что программами чтения файлов PDF можно манипулировать подобным образом, а атака Стивенса показала, что по крайней мере одна программа -- Foxit Reader -- запускает исполняемый файл, даже не уведомляя об этом пользователя. Соответствующая ошибка в Foxit уже исправлена, но основополагающую причину нельзя устранить до тех пор, пока не будет изменен сам стандарт PDF.
"В данном случае мы видим пример того, как мощная технология, которую применяют в своей работе очень многие люди и организации, при некорректном использовании создает потенциальные риски", -- отметила пресс-секретарь компании Adobe Systems.
Пользователям, желающим отключить функционал, через который атаки подобного рода могут совершаться в среде Adobe Reader или Acrobat, рекомендуется перейти в меню Edit > Preferences > Categories > Trust Manager > PDF File Attachments (Редактирование > Установки > Категории > Диспетчер доверия > Вложенные файлы PDF) и снять флажок Allow opening of non-PDF file attachments with external applications ("Разрешить открывать вложенные не PDF-файлы во внешних приложениях").
В версии Foxit Reader 3.2.1 программное обеспечение отображает диалоговое окно с запросом на подтверждение запуска исполняемого кода. То же самое происходит и в среде Adobe Reader.
В видео, на котором запечатлена демонстрация атаки, Конвей создает зараженный документ PDF с интегрированным в него исполняемым кодом, вставляющим свой собственный текст в предупреждающее сообщение Adobe. Разместив там текст "Нажмите кнопку 'Открыть' для декодирования файла", злоумышленник резко повышает свои шансы на успех.
Если пользователь попадается на эту удочку и запускает файл на выполнение, червь Конвея вставляет вредоносный код и в другие файлы PDF, размещенные на компьютере. Подобным образом можно инициировать уже известные PDF-атаки или сделать очередной шаг на пути к так называемым "атакам нулевого дня", когда нападение совершается раньше, чем разработчики программного обеспечения успевают создать модули, блокирующие возможность несанкционированного проникновения.
Конвей уверен, что сегодня большая часть предприятий не в состоянии противостоять атакам подобного рода, и киберпреступники могут этим воспользоваться. "Большинство опрошенных сотрудников ИТ-служб не собираются проверять каждый документ на компьютерах пользователей, для того чтобы убедиться в их безопасности", -- заявил он.
Сам код, с помощью которого совершалась атака, не был опубликован. Конвей ограничился демонстрацией соответствующего видео.
"PDF-атаки можно использовать, например, для помещения вредоносных макросов в документы Word, -- отметил Тьерри Золлер, консультант компании Verizon Luxembourg по вопросам безопасности. -- Таким же образом легко заражается все, что угодно".