Xecure Lab 的免費線上APT快篩服務(
)前天捕捉到最新的 PDF 0day Exploit CVE-2011-2462,並且該 Exploit 已經使用在 APT 攻擊中。
(本篇兼賣菜...)
該樣本已經被 XecScan 自動分群系統鑑定出來屬於已知的 APT Group
這個 Exploit 目前還是 ZeroDay 也就是官方尚未釋出修補程式,相關弱點資訊由於還是新的 Exploit ,因此目前有放出樣本或是分析的資訊並不多,Adobe 官方提供通報如下:
APSA11-04 : http://www.adobe.com/support/security/advisories/apsa11-04.html
CVE-2011-2462 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2462
以 Adobe 的官方資料顯示該弱點是在 2011-12-06發佈,也就是上個禮拜二!針對 Adobe Reader 9.4.6之前,或是Adobe Reader X (10.1.1) 之前的。Adobe一直信誓旦旦超級安全的Adobe Reader X這次也在備攻擊範圍內,說好的Sandbox功能真的有效嗎?
接著 Malware Dump的 Mila 也在2011-12-07發現了該ZeroDay已經成功作成了 "目標式攻擊郵件" 對重要人士發動攻擊。
Xecure Lab 在這幾天已經發現 3 個 CVE-2011-2462 樣本,都被用在APT攻擊中(我們相信絕對不只這幾個)。這次的PDF弱點也是跟U3D物件有關,都有這些pattern,請大家多注意 !
我們發現的樣本MD5 (僅分析人員供參考):
- 409256cfdeb1932392aa7e63ccb38644
- c72484172babcc53fcb28e9427283d95
- 721fda5df552f4130218ad9bd2a4ab78
(相關的惡意程式分析細節,日後在提供)
解決方案:- 已經有使用我們產品 XecMail 的User不需要更新就可以偵測到該 Document Exploit :)
- 官方預計在 2011-12-12 就會警急釋出 CVE-2011-2462 修補程式,敬請期待。大家在上Patch之前,如果收到 "來路很明"的惡意信件,請小心 PDF附件。辦公室電腦這麼多,千萬不要在自己的電腦上開啟呀...ccc
- 因為修補程式將於12/12釋出,駭客可能利用這1,2天短暫的空窗期,發揮剩餘價值,對重要單位進行轟炸,請提高警覺
- 在還沒有修補程式前的免費自保方案
- Adobe Reader 的安全設定儘可能設定在最嚴格,並且關閉 JavaScript功能
- 覺得可疑郵件中的DOC,PPT,XLS,PDF請上傳到 http://scan.xecure-lab.com 。針對APT攻擊,免費又有效
- 不然也可以把可疑檔案上傳到 VirusTotal 掃心安 :)
Birdman
Free Anti-APT Service
[XecMail Cloud] XecMail Cloud 是免費 Gmail 信箱 APT 線上掃描服務
沒有留言:
張貼留言