Po raz kolejny w sieci krąży eksploit wykorzystujący podatność dnia zerowego Adobe Readera. Tym razem nie potrzebuje w ogóle włączonego Javascriptu, obchodzi również zabezpieczenie sandbox. Informacja jest na przykład tu.
Do wprowadzania złośliwego oprogramowania cyberprzestępcy wykorzystują nie tylko eksploity wykorzystujące podatność Javy, ale także specjalnie przygotowane pliki PDF. Obchodzą one zabezpieczenia wprowadzone przez Adobe w przeglądarce Reader X i XI, umożliwiając instalację złośliwego oprogramowania mimo włączonych ustawień Protected Mode i Protected View, które dotąd w miarę skutecznie blokowały ataki polegające na kodzie JavaScript.
Eksploit był omawiany na kilku rosyjskojęzycznych forach i jest już dostępny w zmodyfikowanej wersji narzędzia Blackhole. Jego szacowana cena na czarnym rynku oscyluje między 30 a 50 tys USD. Obecnie złodzieje wykorzystują eksploita do instalacji złośliwego oprogramowania kierowanego przeciw użytkownikom bankowości elektronicznej.
Mechanizm ataku zakłada zamknięcie przeglądarki po załadowaniu złośliwego kodu, ale jest możliwy do przeprowadzenia przy odrobinie socjotechniki.
Jak dotąd Adobe nie odpowiedziało na zagrożenie, nie ma jeszcze aktualizacji. Wspomniany eksploit działa na w pełni aktualnym Windows 8 w obu testowanych przeglądarkach – Internet Explorerze oraz Firefoksie, chociaż ta druga umożliwia obejście problemu, wyłączając wyświetlanie osadzonych plików PDF. Wtedy antywirus może sprawdzić taki plik przed jego wyświetleniem. Jedyną przeglądarką, w której taki atak nie działa jest Chrome, gdyż oferuje ona dodatkowy mechanizm zabezpieczający przed luką we wtyczce.

Dlaczego BOHICA? Ten akronim wywodzi się z amerykańskiej armii i oznacza „bend over, here it comes again” – nieprzyjemna sytuacja czeka nas znowu. Tak też jest w przypadku podatności dnia zerowego w Adobe Readerze.