CVE-2010-2883 (PDF Cooltype) Exploit Artifacts

Sunday, January 2, 2011 Posted by Corey Harrell
Artifact Name

Exploit Artifacts for CVE-2010-2883 (PDF Cooltype) Vulnerability

Attack Vector Category

Exploit

Description

Vulnerability present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cooltype.dll affects Adobe Reader and Acrobat versions 9.x before 9.4 and 8.x before 8.2.5 on Windows and Mac OS X systems. Exploitation allows remote attackers to execute arbitrary code or cause a denial of service.

Attack Description

This description was obtained using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mitre and ISS X-Force Database references.

1. Create a PDF document with a “long field in a Smart Independent Glyphlets (SING) table in a TTF font".

2. Open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target system.

Exploits Tested

Metasploit v3.5 windows\fileformat\adobe_cooltype_sing

Target System Information

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using administrative user account (No PDF files were opened on system prior to test)

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using non-administrative user account (No PDF files were opened on system prior to test)

* Windows XP SP3 Virtual Machine with Adobe Reader v9.3 using administrative user account (Non-malicious PDF file was opened on system prior to test)

Different Artifacts based on Administrator Rights

Yes, MFT entry for "Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe" was modified when user account had administrative privileges.

Different Artifacts based on Tested Software Versions

Not tested

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE 2010-2883 exploit and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit causes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following three areas:

    * PDF Document Creation

    * References of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF Document Being Accessed

    * Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documenting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential artifacts attempted to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall artifacts associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability being exploited as opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific artifacts unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit. As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual artifact storage locations and filenames are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

    * PDF Document Creation

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document will vary depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism involved

         - PDF document being created on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timeframe of interest. [C:\msf-cooltype.pdf which VirusTotal confirmed as being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit]

    * References of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF Document Being Accessed

note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts may vary depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method used to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document. For example, Windows Explorer will leave different artifacts as compared to a web browser involved in a drive-by download. The testing involved opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document using Windows Explorer.

         - Web browser history with entries containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document. Entries may involve HTTP or file. [Internet Explorer entry file:///C:\msf-cooltype.pdf]

         - Link files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document being opened. [C:\Documents and Settings\Administrator\Recent\msf-cooltype.pdf.lnk]

        -User registry keys with values containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF document. [HKCU-\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.pdf. This key had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRU]

    * Indications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerable Application Executing

         - Prefetch files of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application executing. [C:\WINDOWS\Prefetch\ACRORD32.EXE-3A1F13AE.pf and C:\WINDOWS\Prefetch\ACRORD32INFO.EXE-242CE4AA.pf]

         - Registry modifications involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application. [modifications made to subkeys under HKCU-\Software\Adobe\Acrobat Reader\9.0\]

         - Folder activity involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application. [C:\Program Files\Adobe\Reader 9.0, C:\Documents and Settings\Administrator\Application Data\Adobe\Acrobat\9.0, or C:\Documents and Settings\Administrator\Local Settings\Application Data\Adobe\Acrobat\9.0]

         - Temp files being created. [C:\Documents and Settings\Administrator\Local Settings\Temp\A9R9E95.tmp. The file signature indicated it was a PDF.]

Timeline View of Potential Artifacts

The images below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts in a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP SP3 system that had a non-malicious PDF file opened on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system prior to test. The timeline includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant registry and Internet explorer history entires.











References

Vulnerability Information

     Mitre’s CVE http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-2883

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Information

     Metasploit Blog Post http://blog.metasploit.com/2010/09/return-of-unpublished-adobe.html

     Mila's Contagio Malware Dump David Leadbetter Post

     ISS X-Force Database http://xforce.iss.net/xforce/xfdb/61635

Post a Comment