CVE-2010-2883 — Adobe Reader/Acrobat CoolType (SING)

Co znajdziesz w tym artykule?

1 TL;DR
2 Krótka definicja techniczna
3 Gdzie występuje / przykłady platform
4 Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)
5 Artefakty i logi (tabela)
6 Detekcja (praktyczne reguły)
7 Heurystyki / korelacje
8 False positives / tuning
9 Playbook reagowania (IR)
10 Przykłady z kampanii / case studies
11 Lab (bezpieczne testy) — przykładowe komendy
12 Mapowania (Mitigations, powiązane techniki)
13 Źródła / dalsza literatura
14 Checklisty dla SOC / CISO (krótko)

TL;DR

Krytyczna podatność w CoolType.dll (obsługa czcionek) programu Adobe Reader/Acrobat umożliwia zdalne wykonanie kodu po otwarciu specjalnie spreparowanego pliku PDF zawierającego wadliwy TTF z tabelą SING. Błąd był aktywnie wykorzystywany od września 2010 r.; naprawiono go w wersjach 9.4 / 8.2.5 (oraz później w Reader X z sandboxem). Mapowanie ATT&CK: T1566.001 (dostarczenie załącznikiem), T1204.002 (uruchomienie przez użytkownika), T1203 (exploitation for client execution). W praktyce szukaj: niezwykłych procesów potomnych uruchamianych przez AcroRd32.exe/Acrobat.exe, gwałtownych crashy modułu CoolType.dll (Event ID 1000) i łącz to z telemetrią pocztową.

Krótka definicja techniczna

CVE-2010-2883 to buforowy przepełnienie stosu w CoolType.dll (parsowanie tabeli SING w czcionce TrueType osadzonej w PDF), wyzwalane przy otwarciu złośliwego dokumentu PDF; skutkiem jest crash lub wykonanie dowolnego kodu w kontekście aplikacji.

Gdzie występuje / przykłady platform

Windows, macOS, UNIX (Reader 9.3.4 i starsze; Acrobat 9.3.4 i starsze; Reader/Acrobat 8.x do 8.2.4) — systemy te były podatne przed aktualizacją do 9.4/8.2.5.
Środowiska korporacyjne (AD/M365): najczęściej wektor dostarczenia to spearphishing z PDF (Exchange/M365). Mapowanie do ATT&CK Initial Access.
Chmura (AWS/GCP/Azure): pliki bywały hostowane na publicznych zasobnikach (np. S3); przydaje się telemetria dostępu (CloudTrail/S3 Access Logs) do analizy dystrybucji. [Uwaga: nie jest to błąd usług chmurowych, a jedynie kanał dostarczenia.]
K8s/ESXi: brak bezpośredniego wpływu — jedynie gdy stacje VDI/WorkSpaces otwierają PDF.

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

PDF może osadzać czcionki TTF/OTF. W podatnych wersjach Reader/Acrobat błędny kod w bibliotece CoolType nieprawidłowo łączył ciągi (m.in. z pola uniqueName w tabeli SING) wykonując niebezpieczne operacje na buforze (np. strcat), co prowadziło do przepełnienia stosu. Napastnik, dołączając tak przygotowany TTF do PDF, osiągał wykonanie kodu po otwarciu dokumentu przez ofiarę. We wrześniu 2010 r. raportowano aktywną eksploatację w kampaniach spearphishingowych. Adobe wydało aktualizacje 8.2.5/9.4 (APSB10‑21), zaś Reader X (11/2010) wprowadził Protected Mode (sandbox), znacząco utrudniający dalsze nadużycia klas tego typu błędów.

Artefakty i logi (tabela)

Źródło	ID / typ	Co obserwować	Przykład / Wskazówka	Uwaga
Windows Security	4688	Procesy potomne `AcroRd32.exe`/`Acrobat.exe` → `cmd.exe`, `powershell.exe`, `wscript.exe`, `rundll32.exe`, `regsvr32.exe`, `msiexec.exe`	ParentImage=`…\AcroRd32.exe`, Image=`…\powershell.exe`, CommandLine zawiera `-enc`/URL	Wzorzec po‑eksploatacyjny (T1204.002/T1203)
Sysmon	1 (ProcessCreate)	Jak wyżej, bogatsze pola (hash, integrator)	`Image`, `ParentImage`, `CommandLine`
Sysmon	3 (NetworkConnect)	Nietypowe połączenia z procesu Reader/Acrobat po otwarciu PDF	`AcroRd32.exe` → nietypowe domeny/IP	Koreluj z 4688/1
Sysmon	11/15 (FileCreate/FileStream)	Upuszczenia binariów do `%APPDATA%\*\Temp`	Nazwy losowe `.exe/.dll`
Windows Application	1000/1001	Crash `AcroRd32.exe`/`Acrobat.exe` z modułem `CoolType.dll` (DoS/corruption)	„Faulting module name: CoolType.dll”	Częsty artefakt przy próbie eksploatacji
Poczta (M365/Exchange)	Threat/Policy events	Załączniki PDF oznaczone jako złośliwe/heurystyka fontów; kampanie spearphishing	Identyfikatory alertów EOP/Defender for Office	Mapuj do T1566.001
Proxy/HTTP	—	Pobrania PDF z domen jednorazowych/S3	UA programu pocztowego lub przeglądarki
AWS CloudTrail (S3 Data Events)	GetObject	(Gdy dystrybucja przez S3) masowe pobrania `.pdf` z publicznych bucketów	`eventSource="s3.amazonaws.com" AND key LIKE "%.pdf"`	Kanał dostarczenia, nie wektor wykonania

(Zakres podatnych wersji i platform: Adobe Advisory/US‑CERT).

Detekcja (praktyczne reguły)

Sigma (Windows / process_creation)

title: Acrobat/Reader Spawns Suspicious Child (CVE-2010-2883 Follow-on)
id: 2b2b8f2a-9a0e-4e7d-9b1c-4b3d9c9b6a88
status: test
description: >
  Wykrywa podejrzane procesy potomne uruchamiane przez AcroRd32.exe/Acrobat.exe,
  co może wskazywać na eksploatację PDF (np. CVE-2010-2883) i fazę post-exploitation.
references:
  - https://attack.mitre.org/techniques/T1204/002/
  - https://attack.mitre.org/techniques/T1203/
logsource:
  product: windows
  category: process_creation
detection:
  sel_parent:
    ParentImage|endswith:
      - '\AcroRd32.exe'
      - '\Acrobat.exe'
  sel_child:
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cscript.exe'
      - '\rundll32.exe'
      - '\regsvr32.exe'
      - '\msiexec.exe'
  sel_cmd:
    CommandLine|contains:
      - ' -enc '
      - 'http://'
      - 'https://'
      - 'FromBase64String'
  condition: sel_parent and sel_child or (sel_parent and sel_cmd)
falsepositives:
  - Otwarcie linku z PDF uruchamiające przeglądarkę (dopuszczalne; dodaj allowlist)
  - Wtyczki lub integracje korporacyjne Acrobat (rzadko)
level: high
tags:
  - attack.t1204.002
  - attack.t1203
  - attack.t1566.001

(Mapowanie ATT&CK)

Splunk (SPL)

(index=win* (sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1)
 OR (sourcetype="WinEventLog:Security" EventCode=4688))
| eval ParentImage=coalesce(ParentImage, ParentProcessName, process_parent_image)
| eval Image=coalesce(Image, New_Process_Name, process_name)
| eval CommandLine=coalesce(CommandLine, Process_Command_Line, cmdline)
| search (like(ParentImage, "%\\AcroRd32.exe") OR like(ParentImage, "%\\Acrobat.exe"))
| search (like(Image, "%\\cmd.exe") OR like(Image, "%\\powershell.exe") OR like(Image, "%\\wscript.exe") OR like(Image, "%\\cscript.exe")
        OR like(Image, "%\\rundll32.exe") OR like(Image, "%\\regsvr32.exe") OR like(Image, "%\\msiexec.exe")
        OR CommandLine="* -enc *" OR CommandLine="*http*")
| stats earliest(_time) as firstSeen latest(_time) as lastSeen values(CommandLine) as cmd by host user ParentImage Image
| convert ctime(firstSeen) ctime(lastSeen)

KQL (Microsoft Defender for Endpoint / Sentinel)

DeviceProcessEvents
| where InitiatingProcessFileName in~ ("AcroRd32.exe","Acrobat.exe")
| where FileName in~ ("cmd.exe","powershell.exe","wscript.exe","cscript.exe","rundll32.exe","regsvr32.exe","msiexec.exe")
   or ProcessCommandLine has_any (" -enc ","http://","https://","FromBase64String")
| project TimeGenerated, DeviceName, InitiatingProcessAccountName,
          InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine
| order by TimeGenerated desc

CloudTrail (CloudWatch Logs Insights) – dystrybucja przez S3 (opcjonalnie)

fields @timestamp, eventName, userAgent, requestParameters.bucketName as bucket,
       requestParameters.key as key, sourceIPAddress
| filter eventSource = "s3.amazonaws.com" and eventName = "GetObject" and key like /.*\.pdf$/i
| stats count() as downloads by bucket, key, sourceIPAddress, userAgent
| sort downloads desc

Elastic / EQL

process where event.type == "start" and
  process.parent.name in ("AcroRd32.exe","Acrobat.exe") and
  process.name in ("cmd.exe","powershell.exe","wscript.exe","cscript.exe",
                   "rundll32.exe","regsvr32.exe","msiexec.exe")

Heurystyki / korelacje

Łańcuch rodzic‑potomek: AcroRd32.exe/Acrobat.exe → [„LOLBins”] powershell/wscript/rundll32 → połączenie sieciowe → zapis pliku w %APPDATA%.
Crash & połączenie: bliski w czasie Application Error 1000 (moduł CoolType.dll) i nowa aktywność procesu skryptowego.
Rzadkość: anomalna dla danej stacji liczba otwarć PDF zakończonych utworzeniem procesu systemowego lub połączeniem wychodzącym.
Poczta: alerty EOP/Defender for Office skorelowane z otwarciem konkretnego załącznika PDF (T1566.001).

False positives / tuning

Legalne akcje: kliknięcie linku w PDF (otwarcie przeglądarki) — odfiltrować „browser allowlist”.
Aktualizacje/Wtyczki: rzadkie scenariusze, w których PDF uruchamia dozwolony instalator/wtyczkę (np. msiexec w integracjach przedsiębiorstwa).
Tuning pól: wymagaj co najmniej jednego warunku: CommandLine z URL/-enc, hash niepodpisanego potomka, brak reputacji, lub nietypowe remote IP.

Playbook reagowania (IR)

Zatrzymaj rozprzestrzenianie: izoluj host(y) z alertami (EDR).
Zabezpiecz artefakty: plik PDF, logi 4688/Sysmon 1/3, Application 1000/1001, próbki upuszczonych plików.
Triage: sprawdź łańcuch AcroRd32.exe → <script/binary> i aktywność sieciową; porównaj z reputacją domen/IP.
Eradykacja: odinstaluj stare Reader/Acrobat; zaktualizuj do ≥9.4/8.2.5 lub nowszych gałęzi (preferuj Reader z Protected Mode).
Ochrona: wymuś polityki ASR/EDR blokujące child‑process z czytników PDF; blokuj IOCs w proxy/DNS.
E‑mail: znajdź i usuń identyczne załączniki w skrzynkach (Search & Purge), zakonfiguruj sandboxing załączników (MDO).
Weryfikacja: retro‑hunt 30–90 dni; porównaj do CISA KEV (CVE na liście).
Komunikacja/lessons learned: kampania uświadamiająca (M1017), reguły DLP/AV dla PDF.

Przykłady z kampanii / case studies

Eksploatacja „in the wild” (09/2010): raporty SANS ISC oraz US‑CERT wskazują aktywne wykorzystanie błędu w kampaniach złośliwych PDF.
Microsoft detections (2010): sygnatura Exploit:Win32/CVE-2010-2883.A opisuje PDF próbujące wyzwolić błąd SING w CoolType.dll.
CISA KEV: CVE-2010-2883 znajduje się w katalogu znanych, wykorzystywanych podatności (data dodania: 2022‑06‑08 — wg danych NVD).

Lab (bezpieczne testy) — przykładowe komendy

Cel: przetestować detekcje (a nie sam exploit). Uruchamiaj wyłącznie w izolowanym labie.

A. Atomic Red Team – T1204.002 (Malicious File) / T1566.001 (Spearphishing Attachment – symulacja)

Instalacja i uruchomienie przykładowych testów (np. otwarcie pliku generującego proces dziecko):

# Wymaga PowerShell i Invoke-AtomicRedTeam
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install.ps1')
Install-AtomicRedTeam
Invoke-AtomicTest T1204.002 -ShowDetails
Invoke-AtomicTest T1204.002 -GetPrereqs -RunTest
# alternatywnie (kampania/phishing):
Invoke-AtomicTest T1566.001 -ShowDetails

Spodziewaj się trafień w regułach z sekcji 7 (parent‑child, CommandLine).

B. Negatywny test stabilności (crash monitor)

Otwieraj zwykłe, nieszkodliwe PDF-y i potwierdź brak Event 1000 z modułem CoolType.dll. (Służy jako baseline.)

Nie twórz/uruchamiaj złośliwych PDF. Ten lab weryfikuje wyłącznie ścieżkę detekcji i jakość alertów.

Mapowania (Mitigations, powiązane techniki)

Powiązane techniki ATT&CK

T1566.001 — Spearphishing Attachment (dostarczenie).
T1204.002 — User Execution: Malicious File (klik/otwarcie PDF).
T1203 — Exploitation for Client Execution (wykonanie przez exploit w kliencie).

Mitigations (ATT&CK Enterprise)

M1051 — Update Software: aktualizacje Reader/Acrobat (9.4/8.2.5+), regularne łatanie.
M1040 — Behavior Prevention on Endpoint: EDR/ASR blokujące child‑process z czytników PDF oraz exploit‑guard.
M1017 — User Training: edukacja nt. załączników PDF i makiet phishingu.
M1031 — Network Intrusion Prevention: IDS/IPS sygnaturowe dla ładunków PDF i C2 po eksploatacji.

Źródła / dalsza literatura

NVD — CVE‑2010‑2883 (CVSS, KEV, CPE, opis): „Stack-based buffer overflow… (SING table)”. (NVD)
Adobe Advisory (APSA10‑02): wersje podatne, informacja o eksploatacji, zalecenie aktualizacji. (Adobe)
US‑CERT / CERT VU#491991: opis błędu i rekomendacje (DEP/ASLR, aktualizacje do 9.4/8.2.5). (kb.cert.org)
Microsoft malware encyclopedia: Exploit:Win32/CVE-2010-2883.A (charakterystyka PDF exploit). (Microsoft)
SANS ISC diary: „Adobe SING table parsing exploit in the wild” (09/2010). (SANS Internet Storm Center)
ATT&CK (v18.0): T1203, T1204.002, T1566.001 — opisy i detekcje. (attack.mitre.org)
Reader X / sandbox (kontekst): omówienia mechanizmu i wpływu bezpieczeństwa. (Cert-IST)

Checklisty dla SOC / CISO (krótko)

SOC (operacyjne)

Włącz i zbieraj: Security 4688 + Sysmon 1/3/11/15; Application 1000/1001.
Alert: parent AcroRd32.exe/Acrobat.exe → powershell|wscript|rundll32|regsvr32|msiexec (+ warunki CommandLine).
Korelacja: crash CoolType.dll ± połączenie sieciowe ± zapis w %APPDATA%.
Triaging: wydobądź PDF, hash, ścieżki, drugie etapy; retro‑hunt.
Blokada: IOC w mail/proxy/DNS, reguły EDR child‑process z czytników PDF.

CISO (strategiczne)

Program aktualizacji: Reader/Acrobat ≥ 9.4/8.2.5 lub nowsze, preferuj wersje z Protected Mode.
Szkolenia (M1017) — rozpoznawanie złośliwych PDF, polityka otwierania załączników.
Pokrycie ATT&CK: T1566.001 / T1204.002 / T1203 — detekcje & testy (Atomic).
Przegląd KEV / zarządzanie podatnościami — CVE-2010-2883 traktować jako historycznie wykorzystywaną podatność (wysoki priorytet, jeśli legacy).

Uwaga końcowa: Podatność jest historyczna, ale nadal pojawia się w dziedzictwie (legacy) oraz w zestawach testowych. Kluczowe są: aktualizacje, sandboxing czytnika PDF oraz detekcje łańcuchów po‑eksploatacyjnych z procesów AcroRd32.exe/Acrobat.exe.