Hai lỗ hổng zero-day phát hiện qua PDF độc hại trên VirusTotal

[WhiteHat News #ID:3333]

Các nhà nghiên cứu tại Microsoft đã tiết lộ thông tin chi tiết về hai lỗ hổng zero-day nghiêm trọng, được phát hiện sau khi một tệp PDF độc hại được tải lên VirusTotal. Cả hai lỗ hổng này đã được vá trước khi có thể bị khai thác thực tế.

Vào cuối tháng 3, nhóm nghiên cứu của ESET đã phát hiện một tệp PDF độc hại trên VirusTotal và thông báo cho đội bảo mật của Microsoft về khả năng tồn tại một lỗ hổng chưa từng được biết đến trên Windows.

Sau khi tiến hành phân tích, các chuyên gia Microsoft phát hiện rằng tệp PDF này chứa hai lỗ hổng zero-day khác nhau: một ảnh hưởng đến Adobe Acrobat và Reader, và lỗ hổng còn lại nhắm mục tiêu vào Microsoft Windows.

Cả hai lỗ hổng đều đã được vá trong các bản cập nhật phát hành vào tháng 5. Microsoft chỉ công bố chi tiết về các lỗ hổng sau khi người dùng có đủ thời gian cập nhật hệ điều hành Windows và phần mềm Adobe để bảo đảm an toàn.

Theo các nhà nghiên cứu, tệp PDF độc hại này chứa mã khai thác hai lỗ hổng ở giai đoạn phát triển ban đầu. Tuy nhiên, bản thân tệp không chứa mã độc, mà dường như chỉ là một mẫu mã chứng minh (PoC). Có thể ai đó đã kết hợp hai lỗ hổng zero-day này để tạo thành một vũ khí tấn công mạnh mẽ nhưng vô tình hoặc nhầm lẫn đã tải tệp lên VirusTotal.

Hai lỗ hổng được xác định bao gồm:

• CVE-2018-4990: Lỗ hổng thực thi mã từ xa trong Adobe Acrobat và Reader.
• CVE-2018-8120: Lỗi leo thang đặc quyền trong Microsoft Windows.

Cả Microsoft và Adobe đã phát hành các bản vá bảo mật tương ứng cho hai lỗ hổng trên vào tháng 5. Để tìm hiểu thêm thông tin kỹ thuật về các lỗ hổng này, bạn có thể tham khảo các bài viết trên blog của Microsoft và ESET.

Theo: The Hacker News​