Adobe 修补 Acrobat 零日漏洞 通过恶意 PDF 被利用数月

执行摘要

Adobe 修补了 Adobe Acrobat 和 Reader for Windows 和 macOS 中的一个关键、积极利用的零日漏洞，跟踪编号为 CVE-2024-34102。根据 Adobe 的咨询报告，攻击者至少在漏洞被发现和修复前四个月就一直在利用恶意 PDF 文档来利用这个缺陷。该漏洞允许在当前用户的上下文中执行任意代码，对处理不受信任 PDF 文件的组织和个人构成重大风险。

技术分析

漏洞 CVE-2024-34102 是 Adobe Acrobat 和 Reader 中的一个越界写入问题。越界写入发生在软件将数据写入内存中分配的缓冲区的末尾之外或开始之前时。这种类型的内存损坏缺陷可以被攻击者利用来崩溃应用程序，或者更关键的是，覆盖特定的内存结构以获得对程序执行流程的控制。

在这种情况下，利用需要受害者打开一个特别制作的 PDF 文件。恶意 PDF 包含设计用来在被易受攻击的 Acrobat 或 Reader 软件解析时触发内存损坏的嵌入数据。成功的利用导致 任意代码执行，使攻击者能够安装恶意软件、窃取数据或在被破坏的系统上建立持久性。Adobe 的咨询报告指出，利用的范围有限，尽管攻击的确切规模和目标尚未公开披露。

作为 Adobe 计划安全更新的一部分发布的补丁，通过实施适当的边界检查来解决这个缺陷，以防止未经授权的内存写入。受影响的软件版本包括 Acrobat DC、Acrobat Reader DC、Acrobat 2020 和 Acrobat Reader 2020，涵盖 Windows 和 macOS 平台。

入侵指标

目前没有识别出任何指标。虽然利用方法涉及恶意 PDF 文件，但 Adobe 或源材料中没有公开发布与此活动相关的特定文件哈希值、文件名或网络指标。组织应监控来自 Acrobat 或 Reader 实例的异常进程创建，并仔细审查来自不受信任来源的 PDF 文件。

战术、技术与程序

根据可用信息，威胁行为者的 TTP 与直接的初始访问向量一致：

• 初始访问 (TA0001)： 主要技术是 钓鱼：鱼叉式网络钓鱼附件 (T1566.001)。攻击者可能发送了包含恶意 PDF 作为附件的目标电子邮件，或从被破坏的网站链接到它。
• 执行 (TA0002)： 漏洞属于 用户执行：恶意文件 (T1204.002)，需要受害者打开恶意 PDF 文档。
• 防御规避： 在像 Adobe Reader 这样的普遍应用程序中使用零日漏洞本身就是一种 利用防御规避 (T1211) 的形式，因为它绕过了尚不存在补丁的基于签名的检测。 源中缺乏进一步的细节表明，诸如有效载荷交付或命令和控制之类的后期利用行为仍然未知或不属于公开咨询的一部分。

威胁行为者背景

Adobe 尚未在其公开安全公告中识别出负责利用 CVE-2024-34102 的特定威胁行为者或团体。该漏洞作为零日漏洞被利用数月的事实表明，有能力的行为者拥有发现或获取此类缺陷并将其整合到他们的操作中的资源。从历史上看，出于财务动机的网络犯罪团伙和国家支持的高级持续性威胁 (APTs) 都曾针对 Adobe Reader 漏洞以获取初始访问。Adobe 提到的有限攻击范围可能表明这是一个有针对性的活动，而不是广泛的、机会主义的利用。

缓解措施与建议

组织和用户必须立即应用提供的安全更新。Adobe 已经发布了 Acrobat 和 Reader 的连续 (DC) 和 2020 版本的补丁。

1. 立即补丁： 根据 Adobe 安全公告 APSB24-28 中列出的最新版本更新 Adobe Acrobat 和 Reader。在可能的情况下启用自动更新。
2. 深度防御： 由于 PDF 是常见的攻击向量，实施应用程序允许列表以限制可以运行的应用程序。使用沙箱技术隔离和检查从不受信任来源打开的 PDF 文件。
3. 用户意识： 加强培训，不要打开未知发件人的电子邮件附件或点击未经请求的链接，即使文档看起来是一个良性的 PDF。
4. 网络监控： 部署端点检测和响应 (EDR) 工具，以检测利用的行为指标，例如 Acrobat Reader 产生不寻常的子进程，如 cmd.exe 或 powershell.exe。
5. 漏洞管理： 确保漏洞扫描器更新到最新的签名，以识别企业中未修补的 Acrobat 和 Reader 实例。