Il pericolo arriva dai PDF… ancora

Per l’ennesima volta il formato PDF si dimostra veicolo di pericoli per i nostri computer.

I ricercatori di ESET hanno identificato un campione di PDF dannoso, che sfrutta due vulnerabilità zero-day, una legata all’esecuzione di codice in modalità remota in Adobe Reader e l’altra che consente l’escalation dei privilegi in Microsoft Windows. Il campione di PDF malevolo è stato scoperto all’interno di un archivio pubblico di sample pericolosi.

La prima falla di sicurezza (CVE-2018-4990) interessa Acrobat Reader e permette di avviare all’apertura del documento uno script JavaScript che modifica all’interno del PDF il codice di un “pulsante”, che contiene un’immagine JPEG2000 appositamente creata per attivare una vulnerabilità double-free in Adobe Reader. Il JavaScript, a questo punto, attiva una shellcode che apre un file PE incorporato nel documento stesso e gli affida il processo di esecuzione.

La vulnerabilità di Windows (CVE-2018-8120) coinvolge invece un componente chiamato Win32k e consente al malware di ottenere privilegi per l’esecuzione in modalità kernel; a questo punto l’exploit sostituisce il token del processo corrente con quello di sistema.

L’uso delle due vulnerabilità individuate, combinate insieme, è molto potente perché permette a un utente malintenzionato di eseguire un codice in maniera arbitraria con i massimi privilegi possibili sull’obiettivo vulnerabile e con la minima interazione dell’utente.

Per maggiori informazioni, vai qui!