Dia cero en archivo PDF que afecto a Adobe Acrobat y Windows 7
Un investigador descubrió un nuevo exploit de doble Zero-day que afectó a Adobe Acrobat, Reader y plataformas anteriores de Windows 7, Windows Server 2008
Este exploit de Zero-Day crítico se descubrió durante el análisis realizado por Microsoft contra el archivo PDF malicioso descubierto por el investigador de ESET.
El PDF malicioso inicialmente reportó a Microsoft como un exploit potencial para una vulnerabilidad desconocida del núcleo de Windows, pero la investigación detallada lleva a encontrar otros 2 nuevos exploits de día cero dentro del mismo PDF.
Inicialmente, este PDF malicioso descubierto desde virustotal, que es cargado por alguien. En ese momento no estaba completamente preparado para atacar y el exploit estaba en una etapa anterior del desarrollo.
Entre estos 2 exploits críticos de día cero, el primer exploit ataca el motor de JavaScript de Adobe y ejecuta el shellcode y el segundo exploit afectó a la versión anterior de Windows 7.
Proceso de explotación de día cero
El exploit basado en Adobe Acrobat y Reader distribuido a través de PDF malicioso como una secuencia de JPEG 2000 que contiene el código de explotación de Javascript.
Más tarde, la secuencia maliciosa de JPEG 2000 desencadena una operación de acceso fuera de límites y se invoca la operación de acceso a la memoria fuera de límites establecida por el rocío de montón.
Después de que vftable corrompido transfiere la ejecución a cadenas ROP, lo transfiere al shellcode principal.
Posteriormente, el módulo EoP principal se carga a través de la carga reflexiva de DLL y finalmente lanza el exploit Win32k EoP.
Después de la explotación exitosa, se eliminará el archivo .vbs que se diseñó para descargar cargas adicionales para comprometer a las Víctimas.
Principal Win32k EoP Exploración de día cero
Un módulo PE cargado explota la elevación de privilegios (EoP) de Win32k principal que aprovechaba vulnerabilidades desconocidas previamente que afectaban a la máquina de Windows 7 y no estaban presentes en Windows 10 ni en productos más nuevos.
Esto aprovecha el uso de la página NULL para pasar registros maliciosos y copia datos arbitrarios en una ubicación de kernel arbitraria.
Inicialmente explotar llama a la DLL NtAllocateVirtualMemory para asignar una estructura de datos falsa en la página NULL.
Según Microsoft, el Exploit está trabajando de las siguientes maneras.
- Pasa una estructura MEINFOEX mal formada a la función kernel SetImeInfoEx Win32k.
- SetImeInfoEx recoge la estructura de datos falsa asignada en la página NULL.
- El exploit utiliza la estructura de datos falsos para copiar instrucciones maliciosas en + 0x1a0 en la tabla de descriptores globales (GDT).
- Llama a una instrucción FWORD para llamar a las instrucciones de entrada falsas del GDT.
- El exploit llama con éxito a las instrucciones en la entrada falsa del GDT.
- Las instrucciones ejecutan Shellcode asignado en modo usuario desde el espacio de memoria del modo kernel.
- Finalmente, el exploit modifica EPROCESS.Token del proceso de shellcode y puentea el sistema y gana el acceso.