miércoles, 12 de noviembre de 2008

La última vulnerabilidad en Adobe PDF, explotada de forma activa

Desde hace varios días se está observando que una vulnerabilidad corregida en la última versión de Adobe (tanto su versión Reader como la que permite editar) está siendo aprovechada de forma activa para infectar sistemas. Se están creando nuevos ataques tan recientes que, en cierta forma, están pasando desapercibidos para muchos antivirus.

El pasado día 5 de noviembre Adobe publicó (entre otros boletines de seguridad para otros productos) una actualización para Adobe y Adobe Reader 8 que solucionaba varias vulnerabilidades que permitían la ejecución de código.

Uno de los fallos más graves se daba en la función JavaScript "util.printf", provocado por un error al procesar cadenas de formato. Adobe fue advertida del problema en abril de este mismo año. Foxit Reader, otro popular lector de PDF, también sufría una vulnerabilidad muy parecida. Foxit lo solucionó un mes después, en abril, mientras que Adobe publicó a principios de noviembre el parche. Poco después apareció información pública con los datos técnicos de la vulnerabilidad.

Como era de esperar, esta vulnerabilidad está siendo aprovechada de forma activa desde hace días para instalar malware en el sistema, si se abre un archivo PDF especialmente manipulado. Se está observando una gran cantidad de correo basura o páginas web que contienen estos ficheros en PDF. En estos momentos, los nuevos archivos PDF usados para el ultimísimo ataque son detectados (a través de firmas) apenas por un 14% de motores antivirus en Virustotal.com

F-Secure, versión 8.0.14332.0, fecha 2008.11.12: Exploit:W32/Pidief.AS
SecureWeb-Gateway, versión 6.7.6, fecha 2008.11.12:
Exploit.PDF.Shellcode.gen (suspicious)
Symantec, versión 10, fecha 2008.11.12: Trojan.Pidief.D
TrendMicro, versión 8.700.0.1004, fecha 2008.11.12: TROJ_PIDIEF.CW

Es importante destacar que esto no significa que otros (e incluso esos mismos) motores antivirus instalados en el escritorio no puedan detectar el fichero PDF como malicioso a través de otros métodos que no sean exclusivamente las firmas. También es probable que detecten, si no el PDF, el malware que suele ser descargado a posteriori, una vez aprovechada la vulnerabilidad. El indicador de VirusTotal sólo nos permite hacernos una idea de cuántos archivos podrían llegar a pasar un primer filtro antivirus situado por ejemplo en el perímetro, integrado en el correo, donde sólo se suelen tener en cuentas las firmas para filtrar muestras y llegar así al escritorio. Además, es seguro que en muy poco tiempo sea detectado por la mayoría de los antivirus en cuanto actualicen sus bases de datos de firmas.

Aunque un fallo muy similar fue encontrado en abril, no se anunció públicamente que afectase a Adobe. Sólo Foxit Reader lo solucionó, y no se han detectado ataques contra este lector. No ha sido hasta que se ha hecho público que el problema afecta a Adobe, que, aun existiendo parche, los atacantes se han lanzado a aprovechar la vulnerabilidad.

Se aconseja actualizar el lector lo antes posible. En sistemas en los que la actualización no sea posible por cualquier razón, se puede desactivar la interpretación de JavaScript del lector (y eliminar así no solo este, sino otros muchos problemas futuros) con un cambio en el registro de Windows. Algunas funcionalidades del lector podrían dejar de estar operativas. En la rama:

HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\8.0\JSPrefs

Añadir la clave:

Nombre: bEnableJS
Tipo: DWORD
Valor: 0


Sergio de los Santos
ssantos@hispasec.com


Más información:

Security Update available for Adobe Reader 8 and Acrobat 8:
http://www.adobe.com/support/security/bulletins/apsb08-19.html

Adobe Reader Javascript Printf Buffer Overflow:
http://www.coresecurity.com/content/adobe-reader-buffer-overflow

05/11/2008 Nueva versión de Adobe Acrobat/Reader 8 corrige graves
vulnerabilidades conocidas desde hace meses
http://www.hispasec.com/unaaldia/3665

No hay comentarios:

Publicar un comentario en la entrada