Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado en (sorpresa, sorpresa) la Russian Bussines Network.
En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora… pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.
El problema en sí se debe a un fallo de validación de entrada en el manejo de URIs y URLs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:… pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. En la práctica, si un usuario de Windows abre un PDF especialmente manipulado, éste preparará a través de la consola una descarga por FTP del malware y lo ejecutará de forma transparente.
Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema. Sólo funciona sobre Windows XP y 2003, no sobre Vista. Adobe Acrobat Reader es uno de los muchos programas salpicados por una vulnerabilidad original de Windows. Microsoft por su parte, ya reconoce el fallo y se supone publicará una actualización que atajará el problema de raíz.
El archivo detectado es un PDF que, al abrirlo con Adobe Reader, descarga un pequeño archivo de 30k por FTP de forma automática y lo ejecuta. El malware descargado es detectado hoy por un 68.75% de nuestros motores en VirusTotal.com, aunque el ejecutable puede ser reemplazado o modificado en cualquier momento. Lo interesante es que la dirección IP desde donde lo descarga lleva casi tres días activa, impunemente en pie y conocida por todos (se ve a simple vista incrustada en los archivos PDF con los que intentan infectar). Esta dirección IP (81.95.146.xyz ) pertenece a la RBN, Russian Bussines Network y quizás sea esta la razón por la que se mantiene online. Aunque para los atacantes, tampoco sería mayor problema que desapareciera. El exploit es sencillo, público y sólo habría que modificar la dirección IP y la ruta del archivo para comenzar otra oleada de spam con archivos PDF infectados y un nuevo malware para descargar.
Adobe ha lanzado un parche que subsana la vulnerabilidad para las versiones 8.x de Adobe Reader y Adobe Acrobat. Los enlaces se encuentra en la sección de más información. No existe aún parche para la rama 7.x. En cualquier caso la recomendación es clara: ignorar archivos PDF no solicitados o usar alternativas para abrirlos en el caso de que sea posible: Gsview para Windows, puede resultar una alternativa válida, pues no parece vulnerable. No así Foxit Reader, que sí que sufre también este fallo aunque necesita de interacción por parte del usuario. Con Adobe la ejecución sería automática.
ssantos@hispasec.com
Más información:
17/10/2007 ¿Es la Russian Business Network el centro de operaciones
mundial del malware?
http://www.hispasec.com/unaaldia/3280
21/09/2007 Posible ejecución de código arbitrario a través de archivos
PDF en Adobe Acrobat Reader
http://www.hispasec.com/unaaldia/3254
08/10/2007 La vulnerabilidad de manejo de direcciones también salpica a
Adobe Acrobat Reader
http://www.hispasec.com/unaaldia/3271
Se populariza el spam en formato PDF
http://www.hispasec.com/unaaldia/316726/06/2007
Actualizaciones:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Deja una respuesta