あるサイバーセキュリティ研究者は、Adobe Acrobat Readerをアップグレードするようユーザーに呼びかけている。
この欠陥はCVE-2024-41869として追跡されており、特別に細工されたPDF文書を開いた際にリモートでコードが実行される可能性がある、use after freeの重大な脆弱性である。
ユース・アフター・フリー(use after free)」バグとは、プログラムが、すでに解放または解放されたメモリ位置のデータにアクセスしようとすることです。これにより、プログラムのクラッシュやフリーズといった予期せぬ動作が引き起こされる。
しかし、脅威者がそのメモリ位置に悪意のあるコードを格納することができ、その後にプログラムがそのメモリ位置にアクセスした場合、標的のデバイス上で悪意のあるコードを実行するために使用される可能性がある。
この欠陥は現在、最新のAcrobat ReaderとAdobe Acrobatのバージョンで修正されている。
6月に発見されたPoCエクスプロイト
このAcrobat Readerのゼロデイは、サイバーセキュリティ研究者のHaifei Li氏がゼロデイや検出困難な(未知の)エクスプロイトなどの高度なエクスプロイトを検出するために作成したサンドボックスベースのプラットフォームであるEXPMONによって6月に発見された。
「私がEXPMONを作ったのは、エクスプロイトや脆弱性の観点から脅威を検知することに特化したサンドボックスベースの検知・分析システムがないことに気づいたからです」と、Li氏は.
「他のシステムはすべて、マルウェアの観点から検知を行っています。より高度な(あるいは早期の)検知を望むのであれば、エクスプロイト/脆弱性の視点は大いに必要です」。
「例えば、特定の条件下でマルウェアがドロップされなかったり、実行されなかったりした場合、あるいは攻撃がマルウェアを全く使用していない場合、これらのシステムはそのような脅威を見逃してしまうだろう。エクスプロイトの動作はマルウェアとはまったく異なるため、検出には異なるアプローチが必要となる。
このゼロデイが発見されたのは、公開ソースから大量のサンプルがEXPMONに提出され、解析が行われた後でした。これらのサンプルには、クラッシュを引き起こす概念実証のエクスプロイトを含むPDFが含まれていました。
このPoCエクスプロイトには悪意のあるペイロードは含まれておらず、未完成のものですが、リモートでのコード実行に利用可能な「user after free」バグを悪用していることが確認されました。
Li氏がアドビにこの欠陥を公表した後、8月にセキュリティ・アップデートがリリースされた。しかし、このアップデートでは欠陥は修正されず、さまざまなダイアログを閉じた後でも、このバグが誘発される可能性があった。
“パッチを当てた “Adobe Readerのバージョンで(全く同じ)サンプルをテストしたところ、追加のダイアログが表示されたが、ユーザーがそれらのダイアログをクリックしたり閉じたりすると、アプリはやはりクラッシュした!同じUAFバグだ!」とEXPMON Xのアカウントはツイートした。
昨日、アドビはこのバグを修正する新しいセキュリティ・アップデートをリリースした。
李氏は、EXPMONのブログでこのバグの検出方法の詳細を、また、今後のチェック・ポイント・リサーチのレポートでさらなる技術情報を公開する予定である。
Comments