Khai thác cho các lỗ hổng Adobe tăng đột biến vào năm 2018

Nhà cung cấp bảo mật RiskSense gần đây đã phân tích dữ liệu về lỗ hổng hơn 20 năm của Adobe, được thu thập từ các bản tin bảo mật của Adobe và nhiều nguồn của bên thứ ba, bao gồm các chương trình tiền thưởng khi phát hiện ra lỗi và cơ sở dữ liệu lỗ hổng quốc gia.

Phân tích cho thấy trong số 374 lỗ hổng Adobe mới được tiết lộ vào năm 2018, các phần mềm khai thác hoặc phần mềm độc hại đã có sẵn cho 177 lỗ hổng, tương đương 47%. Năm mươi lỗ hổng đã được vũ khí hóa ngay cả trước khi có bản vá.

Con số này cao hơn đáng kể so với các năm trước cả về tỷ lệ phần trăm lỗ hổng mới đã được vũ khí hóa, và về số lượng lỗ hổng Adobe có thể khai thác trước khi có sẵn bản vá. Ví dụ, trong năm 2017, chỉ 21% các lỗ hổng được tiết lộ có liên quan đến khai thác và phần mềm độc hại. RiskSense cho biết: Tương tự, tỷ lệ khai thác trong tự nhiên trước khi có bản vá cao hơn gấp ba lần so với năm ngoái, cao hơn cả mức kỷ lục trước đó trong năm 2010.

Trớ trêu thay, sự gia tăng vũ khí hóa và gia tăng các lỗ hổng Adobe đã xảy ra trong hơn một năm, trong đó tổng số lỗ hổng mới được tiết lộ thấp hơn 31% so với kỷ lục 538 lỗ hổng được báo cáo trong năm 2016.

Anand Paturi, giám đốc nghiên cứu sản phẩm của RiskSense cho biết: "Năm 2018 chắc chắn là năm đặc biệt về vũ khí hóa các lỗ hổng Adobe". Ông cho biết: Những gì không rõ ràng là liệu những con số về lỗ hổng là một sự bất thường hoặc là dấu hiệu của một xu hướng mới.

Paturi nói rằng trong khi các tác giả phần mềm độc hại chịu trách nhiệm vũ khí hóa một số lỗ hổng, các nhà nghiên cứu bảo mật cũng đã góp phần vào tình huống này, bằng cách phát hành các mã bằng chứng khai thác (proof-of-exploit code) cho các lỗ hổng của Adobe, đôi khi trước khi vá lỗi.

Paturi cho biết: "Mặc dù mã này thường rất quan trọng để giúp hiểu được các lỗ hổng và chứng minh mức độ nghiêm trọng của nó, thông tin này đôi khi cũng có thể đẩy nhanh sự phát triển các mối đe dọa của những kẻ tấn công".

Acrobat Reader, Flash Player dễ bị tổn thương nhất

Nghiên cứu của RiskSense cho thấy tổng cộng 2.891 lỗ hổng đã được báo cáo trong các sản phẩm của Adobe từ năm 1996 đến cuối năm 2018, phần lớn trong số đó có trong Acrobat Reader và Flash Player. Reader chiếm 1.338 lỗ hổng, trong khi Flash Player chiếm 1.083 lỗ hổng.

Acrobat DC được lưu trữ trên nền tảng đám mây của Adobe cũng đóng góp lớn cho tổng số lỗ hổng bảo mật, với 300 lỗ hổng kể từ khi sản phẩm ra mắt vào năm 2015. Gần 4/10 (38%) các lỗ hổng được báo cáo trong các sản phẩm của Adobe trong 20 năm qua là lỗi tràn bộ đệm.

Khai thác và phần mềm độc hại hiện có sẵn cho 721 lỗ hổng, trong đó 152 lỗ hổng có thể khai thác từ xa, cho phép leo thang đặc quyền hoặc được liên kết với các ứng dụng Web.

Các chuyên gia bảo mật trong những năm gần đây đã coi Flash Player nói riêng như một mối đe dọa bảo mật lớn vì số lượng lỗ hổng bảo mật, bao gồm nhiều lỗi zero - day đã được phát hiện trong sản phẩm trong những năm qua (Lỗ hổng zero - day là một thuật ngữ để chỉ những lỗ hổng chưa được công bố hoặc chưa được khắc phục. Lợi dụng những lỗ hổng này, hacker và bọn tội phạm mạng có thể xâm nhập được vào hệ thống máy tính của các doanh nghiệp, tập đoàn để đánh cắp hay thay đổi dữ liệu). Những kẻ tấn công đã thường xuyên khai thác các lỗ hổng Flash để tấn công người dùng trên nhiều nền tảng và việc khai thác các lỗ hổng này là một yếu tố chính trong các bộ công cụ khai thác như Neutrino và Angler trong nhiều năm.

Tuy nhiên, quyết định của Adobe về việc ngưng Flash Player vào năm 2020 đã dẫn đến sự suy giảm tổng thể sự quan tâm của kẻ tấn công đối với công nghệ này - và thay vào đó là tập trung vào Acrobat Reader. Năm ngoái, chỉ có 24 lỗ hổng Flash Player được báo cáo.

Đây là kết quả của cả việc Flash Player trở nên ít phổ biến hơn và việc các nhà cung cấp trình duyệt đã thêm các cải tiến bảo mật để giải quyết các mối đe dọa liên quan đến Flash. Paturi lưu ý: "Điều này đã chuyển sự chú ý sang Adobe Acrobat Reader. Khi việc khai thác Flash dựa trên trình duyệt đã cạn kiệt, những kẻ tấn công phải làm việc chăm chỉ hơn một chút và chuyển sự chú ý trở lại để tấn công Reader”.

Ông cho biết: "Cụ thể, chúng tôi đang chứng kiến sự tăng đột biến trong việc khai thác mã từ xa (RCE -remote code execution) trong Acrobat Reader và chúng tôi hy vọng sẽ thấy điều đó tiếp tục tăng".