有人将“手无寸铁”PoC上传到VirusTotal后发现两个零日漏洞

3月下旬，ESET的研究人员在VirusTotal上发现了一个恶意PDF文件，他们与微软的安全团队共享了该文件，“作为对未知Windows内核漏洞的潜在攻击”

在分析恶意PDF文件后，微软团队发现同一文件包含两种不同的零日攻击—；一个面向Adobe Acrobat和Reader，另一个面向Microsoft Windows。

由于这两个漏洞的修补程序都是在5月的第二周发布的，在给用户足够的时间更新其易受攻击的操作系统和Adobe软件后，微软今天发布了这两个漏洞的详细信息。

据研究人员称，包括零天攻击在内的恶意PDF处于早期开发阶段，“考虑到PDF本身没有提供恶意负载，似乎是概念验证（PoC）代码。”

似乎有人本可以将零日和零日结合起来构建一个极其强大的网络武器，但却无意中错误地将其开发中的漏洞上传到了VirusTotal，从而输掉了游戏。

问题中的零日漏洞是Adobe Acrobat and Reader（CVE-2018-4990）中的远程代码执行漏洞和Microsoft Windows（CVE-2018-8120）中的权限升级漏洞。

Windows Defender ATP Research的安全工程师Matt Oh说：“第一个漏洞攻击Adobe JavaScript引擎，在该模块的上下文中运行外壳代码。”。

“第二个漏洞不影响Windows 10等现代平台，允许外壳代码从Adobe Reader沙盒中逃逸，并从Windows内核内存以提升的权限运行。”

Adobe Acrobat and Reader漏洞被作为恶意制作的JPEG 2000图像包含在一份PDF文档中，该图像包含JavaScript漏洞代码，这会触发软件中的双重释放漏洞以运行外壳代码。

攻击者利用第一个漏洞的外壳代码执行，利用第二个Windows内核漏洞破坏Adobe Reader沙箱，并以提升的权限运行它。

由于该恶意PDF样本在检测时正在开发中，因此它显然包含一个简单的PoC负载，该负载在启动文件夹中丢弃了一个空的vbs文件。

“最初，ESET研究人员在将PDF样本上传到恶意样本的公共存储库时发现了该样本，”ESET研究人员总结道。

“该样本不包含最终有效载荷，这可能表明它是在其早期开发阶段捕获的。尽管该样本不包含真正恶意的最终有效载荷，但作者在漏洞发现和漏洞编写方面展示了高超的技能。”

自那以后，微软和Adobe在5月份发布了针对这两个漏洞的相应安全更新。有关这些漏洞利用的更多技术细节，请访问Microsoft和ESET博客。