Adobe ha confirmado la existencia de una nueva vulnerabilidad en Adobe Acrobat y Reader reportada como «0-day» que se está explotando en estos momentos de forma activa para conseguir la ejecución remota de código arbitrario.
Cuando una vulnerabilidad se reporta en forma de «día cero» (0-day) quiere decir que se divulga o conoce cuando ya se están efectuando ataques y se aprovecha de forma activa. Esto implica que cuando se da a conocer no hay parche disponible, por lo que generalmente el fabricante debe trabajar contrarreloj para corregir el problema.
En general, todos los ataques a través de archivos pdf detectados en la actualidad basados en la instalación de un troyano se conocen como Trojan.Pidief.X (donde X especifica la versión de turno), por lo que la mayoría de los antivirus que lo detecten lo clasificarán bajo este nombre.
Adobe ha publicado un aviso de seguridad en el que confirma el problema (calificándolo de crítico) en Adobe Reader y Acrobat 9.2 (y versiones anteriores). Adobe recomienda emplear «JavaScript Blacklist Framework» o desactivar JavaScript en los documentos PDF para mitigar en la medida de lo posible los ataques. Otra contramedida disponible pasa por activar el sistema DEP (Prevención de Ejecución de Datos) disponible en algunas versiones de Windows lo que podrá mitigar el ataque a una denegación de servicio.
Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Existen múltiples opciones para elegir para todas las plataformas en: http://pdfreaders.org/
En cualquier caso se recomienda precaución al abrir archivos pdf provenientes de fuentes desconocidas. Como opción y ante cualquier duda también puede ser recomendable enviar cualquier archivo sospechoso a VirusTotal (http://www.virustotal.com) para su análisis. Otra de nuestras recomendaciones habituales también es válida en este caso: no usar la cuenta de administrador para leer archivos PDF.
antonior@hispasec.com
Más información:
Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-07.html
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4069/comentar
Deja una respuesta