Mã này vượt qua các cơ cấu bảo vệ DEP và ASLR của Windows, đi kèm với chứng nhận số hợp lệ.
Mã khai thác một lỗi nghiêm trọng chưa được vá trong Adobe
Reader giờ đây đang lan truyền. Theo các nhà nghiên cứu bảo mật, mã này
là "thông minh" và "ấn tượng".
Trong mã khai thác được nhà nghiên cứu bảo mật độc lập Mila Parkour
(sống ở Washington, Mỹ) tiết lộ lần đầu tiên hôm thứ Ba 7/9/2010, kẻ tấn
công sẽ sử dụng các tài liệu PDF gian lận có chứa mã khai thác lỗ hổng
zero-day trong trình xem file PDF Reader cũng như trong Acrobat - phần
mềm tạo file PDF của Adobe. Mã khai thác tinh vi này vượt qua 2 cơ cấu
phòng thủ quan trọng mà Microsoft dựng lên để bảo vệ Windows là ASLR
(address space layout randomization - bố trí không gian địa chỉ ngẫu
nhiên) và DEP (date execution prevention - thời điểm thực hiện công tác
phòng chống), các nhà nghiên cứu đã xác nhận. Một mã khai thác
đang làm việc (do nhà nghiên cứu Joshua Drake viết) đã được thêm vào bộ
kit thử nghiệm thâm nhập nguồn mở Metasploit hôm thứ Năm 9/9/2010. Đầu
ngày hôm sau, mã này được sửa đổi để chạy ổn định trên các hệ thống
Windows Vista/Windows 7, và để khởi động từ trình duyệt, ông HD Moore,
Giám đốc bảo mật của công ty Rapid7 và là tác giả của Metasploit cho
biết. Hiện mã khai thác do ông Drake viết đã lây lan rộng, có thể làm
thương tổn PC cài Windows nếu người sử dụng xem trước file PDF "độc”. Nhà
nghiên cứu Chet Wisniewski của hãng bảo mật Sophos cho biết, việc vô
hiệu hóa JavaScript trong Reader và Acrobat sẽ ngăn chặn được mã khai
thác trong hiện tại nhưng có thể sẽ không bảo vệ được mọi người chống
lại các cuộc tấn công trong tương lai. Để vô hiệu hoá JavaScript trong
Adobe Reader hay Acrobat trên Windows, người dùng phải lựa chọn
Preferences từ menu Edit, chọn "JavaScript", sau đó bỏ chọn (uncheck)
khỏi tùy chọn "Enable Acrobat JavaScript". (Trên máy Mac, Preferences ở
dưới các menu "Adobe Reader" hoặc "Adobe Acrobat"). Viện SANS
khuyến nghị một cách giải quyết khác là cài đặt add-on trình duyệt gPDF
để mở tài liệu PDF trên nền web trong trình xem PDF của Google Docs thay
vì sử dụng plug-in trình duyệt Adobe Reader. Hiện đã có các phiên bản
add-on gPDF cho Firefox và Chrome, nó cũng có thể được chạy trên Safari
và Opera nhờ sử dụng những script Greasemonkey có sẵn.
|