Un chercheur en cybersécurité exhorte les utilisateurs à mettre à niveau Adobe Acrobat Reader après la publication hier d’un correctif pour une exécution de code à distance zero-day avec un exploit public de preuve de concept dans la nature.
La faille est suivie sous le numéro CVE-2024-41869 et constitue une vulnérabilité critique après free qui pourrait conduire à l’exécution de code à distance lors de l’ouverture d’un document PDF spécialement conçu.
Un bogue « utilisation après libération » survient lorsqu’un programme tente d’accéder à des données dans un emplacement mémoire qui a déjà été libéré ou libéré. Cela provoque un comportement inattendu, tel qu’un plantage ou un blocage du programme.
Cependant, si un acteur malveillant est capable de stocker du code malveillant dans cet emplacement mémoire et que le programme y accède par la suite, il peut être utilisé pour exécuter du code malveillant sur le périphérique ciblé.
La faille a maintenant été corrigée dans les dernières versions d’Acrobat Reader et d’Adobe Acrobat.
Exploit PoC découvert en juin
Acrobat Reader zero-day a été découvert en juin via EXPMON, une plate-forme basée sur un bac à sable créée par le chercheur en cybersécurité Haifei Li pour détecter les exploits avancés tels que les exploits zero-days ou difficiles à détecter (inconnus).
« J’ai créé EXPMON parce que j’ai remarqué qu’il n’y avait pas de systèmes de détection et d’analyse basés sur un bac à sable se concentrant spécifiquement sur la détection des menaces du point de vue de l’exploitation ou de la vulnérabilité », a déclaré Li à Breachtrace.
« Tous les autres systèmes détectent les logiciels malveillants du point de vue des logiciels malveillants. La perspective exploit / vulnérabilité est indispensable si vous souhaitez passer à une détection plus avancée (ou précoce). »
« Par exemple, si aucun logiciel malveillant n’est abandonné ou exécuté en raison de certaines conditions, ou si l’attaque n’utilise aucun logiciel malveillant, ces systèmes manqueraient de telles menaces. Les exploits fonctionnent très différemment des logiciels malveillants, une approche différente est donc nécessaire pour les détecter. »
Le jour zéro a été découvert après qu’un grand nombre d’échantillons provenant d’une source publique ont été soumis à EXPMON pour analyse. Ces exemples comprenaient un PDF malveillant contenant un exploit de validation de principe qui a provoqué un plantage.
Bien que l’exploit PoC soit un travail en cours et ne contienne aucune charge utile malveillante, il a été confirmé qu’il exploitait un bogue « utilisateur après libération », qui pouvait être utilisé pour l’exécution de code à distance.
Après que Li ait divulgué la faille à Adobe, une mise à jour de sécurité a été publiée en août. Cependant, la mise à jour n’a pas corrigé la faille et pouvait toujours être déclenchée après la fermeture de diverses boîtes de dialogue.
« Nous avons testé l’exemple (exactement le même) sur la version » corrigée » d’Adobe Reader, il affichait des boîtes de dialogue supplémentaires, mais si l’utilisateur cliquait/fermait ces boîtes de dialogue, l’application plantait toujours! Même bug UAF!, « a tweeté le compte EXPMON X.
Hier, Adobe a publié une nouvelle mise à jour de sécurité qui corrige le bogue, désormais suivi sous le nom de CVE-2024-41869.
Li publiera des détails sur la façon dont le bogue a été détecté sur le blog d’EXPMON et d’autres informations techniques dans un prochain rapport de recherche Check Point.