福昕PDF阅读器漏洞被用于传播恶意软件

近日,Check Point的研究人员警告称,黑客正在利用福昕(Foxit)PDF阅读器的设计缺陷通过PDF文档传播多种恶意软件。

漏洞利用方式

研究人员分析了多起利用恶意PDF文件的攻击活动,这些攻击主要针对Foxit Reader的用户。攻击者使用各种.NET和Python漏洞构建器,其中最流行的是“PDF Exploit Builder”,来创建包含宏的PDF文档,这些宏可以执行下载和执行恶意软件(如Agent Tesla、RemcosRAT、Xworm、NanoCore RAT等)的命令或脚本。

恶意PDF文件会触发福昕阅读器的安全警告窗口,但是由于这些警告窗口默认选择了不安全的选项,为攻击者提供了便利。

如上图所示,福昕阅读器在打开这些陷阱PDF文件时会显示弹出警告框,用户需要选择是否信任/打开此文档,而警告窗口的默认选项是不安全的“打开”(上图)。攻击得手的原因是很多用户会忽略警告文本,快速接受默认选项,从而允许Foxit执行恶意命令。

福昕承诺解决问题

福昕PDF阅读器在全球拥有超过7亿用户,其客户包括政府和科技部门。Check Point研究人员指出,多年来包括网络犯罪分子和APT组织一直在利用这个漏洞,因为大多数防病毒软件和沙盒环境主要针对Adobe PDF阅读器。这些漏洞的利用成功率很高且检测率低,某些恶意PDF文件可以通过非传统途径(如Facebook)传播而不被社交媒体的恶意软件检测器检测到。

Check Point已将这一问题报告给福昕公司,后者表示将在2024年的新版本中解决这一问题。研究者表示,虽然最理想的方法是检测并禁用CMD执行类型,但研究者认为福昕采取的措施可能仅仅是将默认选项切换为“不要打开”。

缓解建议

在获得软件更新之前,安全专家建议福昕用户对潜在的利用保持警惕,并遵守经典的防御实践。为缓解此类威胁的风险,用户必须:

  • 通过及时补丁和其他方式保持操作系统和应用程序更新。
  • 警惕带有链接的意外电子邮件,尤其是来自未知发件人的电子邮件。
  • 增强员工的网络安全意识。
  • 如有任何疑问或不确定性,请咨询安全专家。

前一篇喜报 | 承制与合作伙伴携手签约某城市商业银行网络安全意识宣贯服务项目
后一篇多模态大语言模型的致命漏洞:语音攻击