вторник, 15 декабря 2009 г.

CVE-2009-4324 или очередной 0-day для Adobe

Уязвимость заключается в некорректной обработке JS метода Doc.media.newPlayer(), специально приготовленный pdf-файл может привести к выполнению произвольного кода. Подробно с кодом эксплойта можно ознакомится тут http://metasploit.com/svn/framework3/trunk/modules/exploits/windows/fileformat/adobe_media_newplayer.rb


https://www.virustotal.com/ru/analisis/503d5f7cada2c2df7497dce0765e108863cd07a986b0c3ccc23c4a3a6150115b-1260897605
Сэмпл pdf со сплойтом можно найти здесь.
После успешной атаки происходит загрузка различных вредоносных модулей с адреса foruminspace.com/documents/dprk/ab.exe, конкретно этот модуль ищет в памяти небезизвестные имена процессов.

Детектов пока почему то мало: https://www.virustotal.com/analisis/d6afb2a2e7f2afe6ca150c1fade0ea87d9b18a8e77edd7784986df55a93db985-1260858538