セキュリティ研究者がAdobe Readerユーザー向けの高度なゼロデイ脆弱性を発見
セキュリティ研究者らは、EXPMONが発見した高度に洗練された未修正のゼロデイ脆弱性について報告しました。この脆弱性は、Adobe Readerユーザーに対してアクティブに攻撃を行っています。
悪意のあるPDFファイルが標準的なアンチウイルスエンジンを回避
この脆弱性は先月後半から検出され始めました。攻撃者は、ローカルファイルを盗むだけでなく、機密情報を収集し、リモートコード実行(RCE)攻撃を展開する可能性があります。
脆弱性の詳細
EXPMONの創設者であるHaifei Li氏が発表した脅威インテリジェンスレポートによると、悪意のあるPDFファイルは「yummy_adobe_exploit_uwu.pdf」という名前で始まりました。このファイルはVirusTotalで5/64の検出率しか得られませんでした。
攻撃手法
この攻撃では、ユーザーがPDFドキュメントを開くだけで十分です。JavaScriptがPDF内のオブジェクトに深く隠されており、そのコードはutil.readFileIntoStream() APIを使用して任意のファイルを読み込みます。
高度なフィンガープリント収集と次段階ペイロード
このゼロデイ脆弱性は主に高度なフィンガープリント収集ツールとして機能します。これは、言語設定やAdobe Readerのバージョンなどの環境データを収集する初期スカウトです。
防御策
EXPMONはこれらの発見をAdobe Securityに報告しましたが、公式パッチはまだ提供されていません。そのため、セキュリティコミュニティは警戒を強化することが求められています。
- ネットワークディフェンダーは、既知の悪意のあるIPアドレス(169.40.2.68:45191)をブロックすること。
- 脅威アクターがインフラストラクチャを容易に変更する可能性があるため、セキュリティチームはより広範なハンティングルールを実装することが推奨されます。
- ユーザーは、Adobeが包括的なセキュリティ更新を発行するまで、未知のソースからの非公式なPDFドキュメントを開かないように注意すること。