L'histoire n'est qu'un éternel recommencement. En octobre dernier, un groupe de pirate exploitait une vulnérabilité non-corrigée dans RealPlayer afin d'installer le cheval de Troie Zonebac. Aujourd'hui, les mêmes s'appuient sur une faille tout juste corrigée dans Adobe Reader et Acrobat pour déployer à nouveau le même parasite.

La vulnérabilité du lecteur d'Adobe permet à l'attaquant d'exécuter le code de son choix sur le PC de sa victime à la lecture d'un document PDF piégé. Dans l'attaque en cours, un document PDF est téléchargé sur l'ordinateur à la visite d'un site infecté. Le vecteur privilégié semble être des bannières publicitaires.

Ouvert automatiquement par le lecteur d'Adobe, le document permet alors l'installation du cheval de Troie Zonebac. Ce dernier est notamment connu pour réduire le niveau de sécurité de Windows, désactiver plusieurs antivirus et manipuler la navigation web (changement des pages de résultat des recherches, etc...).

Si Zonebac est bien connu des antivirus, l'exploit Adobe Reader est lui totalement invisible pour les principaux antivirus du marché à la date du 9 février, d'après un test réalisé par le SANS Institute.

Adobe recommande d'installer la version 8.1.2 de son lecteur.

Une preuve de concept (POC) est également disponible pour les abonnés au site Immunity. Elle pourrait être utilisée afin d'écrire une règle de détection pour Snort, par exemple. 

• L'alerte sur le site d'Adobe (en anglais)
• La preuve de concept (sur abonnement)