Zero-day saldırı sezonu kapanmaktan uzak. Zero day saldırısı, bir yazılımda bulunan açıktan faydalanılarak gerçekleştirilen, geliştiricinin henüz yama ya da başka bir çözüm uygulamadığı saldırıları tipine verilen ad. Gelen haberlere göre son kurban Adobe Reader. Bu olay geçen haftanın Flash Player hadisesinin üzerine geldi. Hatırlayacağınız üzere Flash Player’da da bir güvenlik açığı bulunmuştu.
Trend Micro tarafından TROJ_PIDIEF.KGM olarak adlandırılan açık, PDF dosyası olarak yayılıyor ve henüz yamalanmamış bir açığı hedefliyor. Etkilenen Adobe Reader versiyonları 9, 10 ve 11. Çalıştırıldığında TROJ_INJECT.CPX DLL dosyasını %User Temp%\Visaform Turkey.pdf ile birlikte sisteme atıyor. Bu PDF dosyası zararlı yazılım içermiyor ve bu sayede kullanıcı bir şeylerin yanlış olduğunu fark edemiyor.
Ancak Trend Micro tarafından TROJ64_INECT.CPX olarak tanımlanan zararlı DLL dosyası da 64-bit sistemlere sisteme giriyor. Muhtemelen saldırganlar bunu anti-virüs yazılımlarını atlatmak için koydular.
Bu sorunu çözmek için Adobe bir yama üzerinde çalışıyor. En kısa zamanda yamanın çıkacağı sözünü veriyorlar. Gelişmeleri Adobe’nin blog’undan takip edebilirsiniz.
Java, Internet Explorer, Adobe Flash Player ve şimdi de Reader. 2013’ün henüz ikinci ayındayız ve şimdiden yüksek profilli zero-day saldırılarını peş peşe görüyoruz. Hatta ocak ayını Java açıkları ile geçirdik diyebiliriz. Maalesef bu olay da sonuncusu olmayacak. Zira çözümü olmayan yazılım açıklarına yönelik saldırılar, kurbanları hazırlıksız ve savunmasız yakalamak için ideal.
2012 yıllık değerlendirmemizde, Java 7 ve IE’nin de içinde yer aldığı bazı zero-day açıklarından bahsetmiştik. Bu açıklara yönelik saldırılar Blackhole Exploit Kit ile düzenleniyordu. Adobe Reader da bu kit’in hedef yazılımlarından biri. Elbette eklenti özellikleri ile çalışan diğer uygulamalar, Java Acrobat vb, de hedefte.
Yazımızın konusu olan saldırıyı engellemek için, bilmediğiniz PDF dosyalarını açmayın. Özellikle de tanımadığınız bir kaynaktan geliyorsa.
Trend Micro Smart Protection Network bu saldırıda kullanılan kötü niyetli yazılımı bulup etkisiz hale getiriyor. Trend Micro Deep Security kullanıcıları zararlı PDF tespit sistemi ile bu saldırıdan korunuyorlar. OfficeScan with Intrusion Defense Firewall (IDF) eklentisine sahip kullanıcılarımız da yine bu PDF saldırısından korunabiliyor.
Olayla ilgili gelişme oldukça size ileteceğiz.