一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的PDF文件时，无意间泄露了两个0-day漏洞。漏洞被研究人员捕获，并及时上报给厂商修复。

 

　　漏洞被发现时还未完全成型

ESET研究员Anton Cherepanov在3月底分析海量恶意软件样本时，发现了这两个隐藏的漏洞，在发现之时，该神秘黑客组织仍在调整这两个漏洞。

Cherepanov表示：“样本中不包含最终有效载荷，这意味着漏洞被发现时仍处于早期发展阶段。”

这两个0-day漏洞分别是影响Adobe Acrobat/Reader PDF阅读器的CVE-2018-4990，和影响Windows Win32k组件的CVE-2018-8120。二者结合可以构成一个所谓的“利用链”。其中，利用CVE-2018-4990可以在Adobe Acrobat/Reader中运行自定义代码，而利用CVE-2018-8120则可以绕过Adobe的沙箱保护并在底层操作系统上执行其他代码。

　　利用链工作机制

Cherepanov在研究报告中表示：恶意PDF样本嵌入了控制整个利用过程的JavaScript代码。一旦PDF文件被打开，JavaScript代码就会被执行。

具体的利用过程可分为以下几步：

1.接受并打开boobytrapped PDF文件；

2.用户打开PDF时执行恶意JavaScript代码；

3.JavaScript代码伪可以控制一个button对象；

4.包含特制JPEG2000图像的button对象在Adobe Acrobat/Reader中触发double-free漏洞；

 

5.JavaScript代码使用堆喷射(heap-spray)技术来获取读写内存访问权限；

 

6.随后JavaScript代码攻击Adobe Reader的JavaScript引擎；

7.攻击者使用引擎的本地汇编指令来执行自己的本地shellcode；

 

8.Shellcode将嵌入到PDF中的PE文件初始化。

微软Win32k 0-day的部分功能可以让攻击者提升运行PE文件的权限，该文件在内核模式下运行，从Adobe Acrobat/Reader沙箱中逃逸，获取到系统级访问权限。

 

这个漏洞利用链可以说是黑客入侵的绝佳案例，但带来的危害并不大。因为其创建者在上传文件到已知病毒扫描引擎时出现失误，被研究人员及时发现。发现漏洞后，研究人员立刻向Adobe和微软汇报了相关问题。

微软上周在5月的补丁中修复了CVE-2018-8120漏洞，Adobe在APSB18-09上修复了CVE-2018-4990漏洞。提醒用户尽快安装更新。

(责任编辑：安博涛)