Lỗ hổng Zero-day nghiêm trọng trong Adobe Reader bị khai thác

Hệ thống săn tìm mối đe dọa EXPMON gần đây đã phát hiện một **lỗ hổng zero-day** chưa được vá đang bị khai thác tích cực, nhắm mục tiêu vào người dùng Adobe Reader. Cuộc tấn công sử dụng một tệp PDF độc hại được thiết kế để đánh cắp dữ liệu cục bộ nhạy cảm và thực hiện phân tích dấu vân tay hệ thống (system fingerprinting) nâng cao.

Phân Tích Khai Thác Lỗ Hổng Zero-Day Trong Adobe Reader

Cuộc khai thác này hoạt động hiệu quả trên phiên bản Adobe Reader mới nhất. Nó không yêu cầu bất kỳ tương tác nào từ người dùng, chỉ cần nạn nhân mở tài liệu độc hại. Mức độ tinh vi của cuộc tấn công này đặt ra một mối đe dọa nghiêm trọng cho người dùng.

Cơ Chế Khai Thác Ban Đầu

Cuộc tấn công bắt đầu khi nạn nhân mở một tệp PDF được tạo đặc biệt, ban đầu được gửi tới các nền tảng phân tích mã độc với tên tệp là “yummy_adobe_exploit_uwu.pdf”. Mã độc này đã thành công vượt qua các công cụ chống vi-rút truyền thống, ghi nhận tỷ lệ phát hiện ban đầu thấp trên các công cụ quét công khai.

Tuy nhiên, nó đã kích hoạt phân tích hành vi nâng cao của EXPMON bằng cách thể hiện các hoạt động đáng ngờ cao trong công cụ JavaScript của Acrobat.

Kỹ Thuật Che Giấu và Vượt Qua Bảo Mật

Để che giấu ý định độc hại, các tác nhân đe dọa đã sử dụng mã hóa Base64 để nhúng script cốt lõi vào các đối tượng PDF ẩn. Sau khi được giải mã và mở, lỗ hổng zero-day này lợi dụng một lỗ hổng chưa được vá để thực thi các lệnh lập trình đặc quyền.

Đầu tiên, nó sử dụng một giao diện lập trình ứng dụng (API) nội bộ, cụ thể là util.readFileIntoStream(), để bỏ qua các cơ chế bảo vệ sandbox tiêu chuẩn và đọc các tệp tùy ý trên máy tính cục bộ của nạn nhân.

Tiếp theo, mã độc sử dụng API RSS-addFeed() để âm thầm truyền thông tin bị đánh cắp tới một máy chủ từ xa do kẻ tấn công kiểm soát. Đây là một bước quan trọng trong quá trình **khai thác zero-day** để thu thập dữ liệu ban đầu.

Dữ Liệu Bị Đánh Cắp và Đánh Giá Mục Tiêu

Dữ liệu bị đánh cắp bao gồm các chi tiết chính xác về hệ điều hành, cài đặt ngôn ngữ, phiên bản Adobe Reader và đường dẫn tệp PDF cục bộ. Các chuyên gia bảo mật phân loại đây là một cuộc tấn công đánh dấu vân tay nâng cao (advanced fingerprinting attack).

Các tác nhân đe dọa sử dụng dữ liệu bị đánh cắp ban đầu này để đánh giá xem máy của nạn nhân có đáp ứng các tiêu chí mục tiêu cụ thể của chúng hay không. Nếu hệ thống được coi là mục tiêu có giá trị, máy chủ của kẻ tấn công sẽ tự động gửi lại các payload JavaScript độc hại bổ sung.

Mã độc sử dụng mật mã để giải mã payload đến này, một chiến thuật được thiết kế đặc biệt để né tránh các công cụ phát hiện dựa trên mạng.

Khả Năng Xâm Nhập và Remote Code Execution (RCE)

Trong quá trình thử nghiệm có kiểm soát, các nhà nghiên cứu đã xác nhận rằng cơ chế payload thứ cấp này hoạt động đầy đủ và có khả năng khởi động các cuộc tấn công bổ sung, bao gồm Remote Code Execution (RCE) và Sandbox Escape (SBX). Điều này có nghĩa là kẻ tấn công về mặt lý thuyết có thể vượt qua tất cả các rào cản bảo mật còn lại để giành quyền kiểm soát hoàn toàn máy tính bị xâm nhập.

Các Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên phân tích, các chỉ số thỏa hiệp ban đầu bao gồm:

• Tên tệp độc hại: yummy_adobe_exploit_uwu.pdf

Khuyến Nghị Phòng Ngừa và Hiện Trạng Lỗ Hổng

Hiện tại, đây vẫn là một lỗ hổng zero-day, có nghĩa là chưa có bản vá chính thức từ Adobe để ngăn chặn việc đánh cắp dữ liệu ban đầu. Theo nhà nghiên cứu justhaifei1 (justhaifei1.blogspot.com), lỗ hổng đã được tiết lộ một cách có trách nhiệm cho Adobe Security.

Người dùng cá nhân nên thực hiện các biện pháp phòng ngừa sau ngay lập tức để giảm thiểu rủi ro từ lỗ hổng zero-day này:

• Cảnh giác với các tệp PDF đáng ngờ, đặc biệt là từ các nguồn không xác định.
• Đảm bảo tất cả phần mềm, đặc biệt là Adobe Reader, luôn được cập nhật lên phiên bản mới nhất ngay khi có bản vá.
• Sử dụng giải pháp bảo mật Endpoint Detection and Response (EDR) hoặc các công cụ phân tích hành vi để phát hiện các hoạt động bất thường.
• Áp dụng nguyên tắc quyền tối thiểu (least privilege) cho người dùng.