觀點

又見PDF零時差攻擊 繞過微軟雙重防護機制

2010 / 09 / 13
張維君
又見PDF零時差攻擊  繞過微軟雙重防護機制

上周又傳出新的Adobe PDF零時差攻擊,它十分狡詐地繞過微軟作業系統上ASLR(address space layout randomization)DEP(date execution prevention)的防護設計,並且使用偷來的憑證,讓使用者點選郵件中的PDF檔附件後就中毒。

 

上周資安研究人員在一些發給知名高爾夫球教練的電子郵件中,發現利用新的Adobe PDF漏洞的零時差攻擊。鑑識專家指出,它透過PDF字型中的某一個欄位( SING )造成stack-overflow,再透過Adobe中一個dll (icucnv36.dll ) 沒有開啟ASLR,然後用ROP(Return Oriented Exploitation)的方式繞過DEP,堪稱經過精密設計的攻擊。對此漏洞,目前Adobe仍未釋出修補程式,而針對此類目標性攻擊,一般入侵防禦系統也難百分百偵測,除非使用者將Adobe readerJavascript設定為關閉,才有可能避免攻擊。

 

此外,另一點值得注意的是,此次攻擊與6月的Stuxnet蠕蟲一樣,都是透過竊取合法公司的數位簽章來作為自己惡意程式的簽章。此次被竊的是位於美國密蘇里州的金融機構。同樣是Verisign發出的簽章,該公司也表示已中止了被盜用的簽章。

 

要防禦此類目標性攻擊,光靠資安設備成效有限。老話一句,電子郵件還是不要隨便開啟,或者先關閉Adobe reader Javascript再開吧。