حث باحث في مجال الأمن السيبراني المستخدمين على تحديث Adobe Acrobat Reader بعد إصدار إصلاح أمس لثغرة أمنية خطيرة تتعلق بتنفيذ التعليمات البرمجية عن بعد من خلال استغلال مفهوم إثبات المفهوم في البرية.
تم تعقب الخلل باسم CVE-2024-41869 وهو استخدام خطير بعد ثغرة أمنية مجانية يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بعد عند فتح مستند PDF مصمم خصيصًا.
أ “use after free” يحدث الخطأ عندما يحاول أحد البرامج الوصول إلى البيانات الموجودة في موقع ذاكرة تم تحريره أو إطلاقه بالفعل. ويتسبب هذا في حدوث سلوك غير متوقع، مثل تعطل البرنامج أو تجميده.
ومع ذلك، إذا كان الفاعل في التهديد قادرًا على تخزين تعليمات برمجية ضارة في موقع الذاكرة هذا، وقام البرنامج بعد ذلك بالوصول إليه، فيمكن استخدامه لتنفيذ تعليمات برمجية ضارة على الجهاز المستهدف.
تم الآن إصلاح الخلل في أحدث إصدارات Acrobat Reader وAdobe Acrobat.
تم اكتشاف ثغرة PoC في يونيو
تم اكتشاف ثغرة Acrobat Reader يوم الصفر في شهر يونيو من خلال”https://pub.expmon.com/” الهدف=”_blank” rel=”nofollow noopener”>إكسبمون، وهي عبارة عن منصة تعتمد على صندوق رمل أنشأها باحث في مجال الأمن السيبراني”https://x.com/HaifeiLi” الهدف=”_blank” rel=”nofollow noopener”>هايفي لي للكشف عن الثغرات المتقدمة مثل الثغرات التي لا يمكن اكتشافها أو الثغرات التي يصعب اكتشافها (غير المعروفة).
“I created EXPMON because I noticed that there were no sandbox-based detection and analysis systems specifically focusing on detecting threats from an exploit or vulnerability perspective,” وقال لي لموقع BleepingComputer.
“All the other systems do detection from a malware perspective. The exploit/vulnerability perspective is much needed if you want to go more advanced (or, early) detection.”
“For example, if no malware is dropped or executed due to certain conditions, or if the attack does not use any malware at all, those systems would miss such threats. Exploits operate quite differently from malware, so a different approach is needed to detect them.”
ال”https://x.com/EXPMON_/status/1804642692594569452″ الهدف=”_blank” rel=”nofollow noopener”>تم اكتشاف اليوم صفر بعد إرسال عدد كبير من العينات من مصدر عام إلى EXPMON للتحليل. تضمنت هذه العينات ملف PDF يحتوي على استغلال لإثبات المفهوم تسبب في حدوث تعطل.
في حين أن استغلال PoC هو عمل قيد التقدم ولا يحتوي على حمولات ضارة، فقد تم التأكد من أنه يستغل “user after free” خطأ، والذي يمكن استخدامه لتنفيذ التعليمات البرمجية عن بعد.
بعد أن كشف لي عن الخلل لشركة Adobe، تم إصدار تحديث أمني في أغسطس. ومع ذلك، لم يعمل التحديث على إصلاح الخلل ولا يزال من الممكن تشغيله بعد إغلاق العديد من الحوارات.
“We tested the (exactly the same) sample on the “مُرَقَّعَة” Adobe Reader version, it displayed additional dialogs, but if the user clicked/closed those dialogs, the app still crashed! Same UAF bug!,” غرد على حساب EXPMON X.
بالأمس، أصدرت شركة Adobe”https://helpx.adobe.com/security/products/acrobat/apsb24-70.html” الهدف=”_blank” rel=”nofollow noopener”>تحديث أمني جديد يؤدي هذا إلى إصلاح الخلل، والذي يتم تعقبه الآن باسم CVE-2024-41869.
وسوف يقوم لي بإصدار تفاصيل حول كيفية اكتشاف الخلل على مدونة EXPMON والمزيد من المعلومات الفنية في تقرير Check Point Research القادم.