Het nieuwste beveiligingslek in Adobe Reader is gebruikt om bij defensiebedrijven in te breken, zo heeft Symantec bevestigd. De kwetsbaarheid werd gisteren door Adobe aangekondigd, nadat het door Lockheed Martin was gewaarschuwd. "De exploit is ingezet tegen mensen binnen telecommunicatie, industrie, computerhardware en chemische bedrijven, alsmede in de defensiesector", aldus Joshua Talbot tegenover IDG. Het anti-virusbedrijf baseert dat op e-mailberichten dat het onderschepte en waar de kwaadaardige PDF als bijlage was toegevoegd.

Naast Lockheed Martin bedankte Adobe ook de Defense Security Information Exchange (DSIE) voor het melden van de aanval. DSIE is een groep van defensiebedrijven, waaronder Boeing, General Dynamics, Lockheed Martin, Northrup Grumman, Pratt & Whitney en Raytheon, die informatie over aanvallen met elkaar uitwisselen.

Backdoor
Volgens Symantec zijn de e-mails met de PDF-exploit op 1 en 5 november verstuurd. De tekst in het bericht gaat over richtlijnen voor contractovereenkomsten. De aanval werkt alleen tegen Adobe Reader en Acrobat 9.x Versie X zou de aanval door de aanwezigheid van de sandbox-beveiliging weten te komen, hoewel het lek ook in deze versie van de PDF-lezer aanwezig is.

Via het lek in de Adobe software wordt vervolgens geprobeerd om de Sykipot backdoor te installeren. De malware zou vorig jaar ook bij een zero-day lek in Internet Explorer 6 en 7 zijn gebruikt. Aangezien de backdoor niet veel gebuikt wordt, denkt Symantec dat de aanvallen het werk van dezelfde groep zijn.

Beveiligingsonderzoekster Mila Parkour kreeg ook een exemplaar van de malware in handen, die zich ook via een onderzoek van ManTech zou verspreiden. Brandon Dixon maakte deze gedetailleerde analyse van de exploit.