ИБ-специалисты призвали пользователей как можно скорее обновить Adobe Acrobat Reader, так как разработчики выпустили исправление для 0-day уязвимости удаленного выполнения кода, PoC-эксплоит для которой уже доступен публично.
Уязвимость получила идентификатор CVE-2024-41869 и представляет собой критическую проблему типа use after free, которая может привести к удаленному выполнению кода при открытии специально подготовленного PDF-документа.
Проблема устранена в последних версиях Acrobat Reader и Adobe Acrobat.
Издание Bleeping Computer сообщает, что уязвимость была обнаружена в июне текущего года, с помощью платформы EXPMON, созданной ИБ-экспертом Check Point Research Хайфеем Ли (Haifei Li) для обнаружения продвинутых угроз, таких как уязвимости нулевого дня или трудно обнаруживаемые (неизвестные) эксплоиты.
«Я создал EXPMON, потому что заметил, что не существует систем обнаружения и анализа на основе песочницы, специально ориентированных на обнаружение угроз с точки зрения эксплоитов или уязвимостей, — рассказал Ли изданию. — Все прочие системы работают с обнаружением с точки зрения малвари. А если вы хотите добиться более продвинутого (или раннего) обнаружения, то вам очень пригодится взгляд с точки зрения уязвимостей и эксплоитов.
Например, если в силу определенных обстоятельств вредоносное ПО не доставлено или не выполнено, или если атака вообще не использует вредоносное ПО, такие системы могут пропустить подобные угрозы. Эксплоиты же действуют совершенно иначе, чем вредоносное ПО, поэтому для их обнаружения требуется другой подход».
CVE-2024-41869 удалось выявить после того как в EXPMON было добавлено множество образцов из открытых источников. Среди этих образцов оказался PDF-файл, содержащий пробный эксплоит, который в итоге приводил к сбою.
Несмотря на то, что PoC-эксплоит для CVE-2024-41869 находился в стадии разработки и не содержал фактической вредоносной полезной нагрузки, уже подтверждено, что он использовал user after free проблему, которая приводит к удаленному выполнению кода.
Хотя разработчики Adobe выпустили первый патч для этого бага еще в августе, он не устранил дефект полностью, и его по-прежнему можно было эксплуатировать после закрытия ряда диалоговых окон.
«Мы протестировали в точности такой же образец в “исправленной” версии Adobe Reader, он отображал дополнительные окна, но если пользователь закрывал эти окна, приложение все равно крашилось! Тот же самый баг UAF!», — писали эксперты в X.
В итоге, в рамках сентябрьского вторника обновлений Adobe подготовила и выпустила новое исправление, которое должно окончательно устранить CVE-2024-41869.
