Si hacemos una simple búsqueda en cualquier base de datos de vulnerabilidades, sin duda, encontraremos al Reader de Adobe en los primeros puestos de los resultados. Reader ha sido el blanco de investigadores de seguridad y creadores de malware desde que hace unos años se abriese la veda a la caza y captura de la brecha que permitiese romper, una vez más, su seguridad. Desde entonces a Adobe le han llovido las críticas, algunas incluso declarando desahuciado al propio formato pdf.
Sin duda la característica estrella es el modo protegido o más concretamente, la adición de una sandbox que aislará a Reader del sistema, impidiendo o limitando el impacto de un ataque en caso de explotación.
Los equipos de Adobe llevan trabajando varios meses en este modelo conjuntamente con los equipos de seguridad de Microsoft Office y Google Chrome entre otros. Equipos con experiencia en la implementación de este modelo en sus respectivos productos.
El modo protegido vendrá activado por defecto y causará que Reader se ejecute en un entorno de mínimos privilegios. Cualquier acción potencialmente peligrosa será conducida a través de un proceso denominado 'Broker' con la capacidad de filtrarlas. La sandbox no impedirá la explotación de vulnerabilidades (no es su misión principal) pero mitigará sus efectos como línea defensiva.
En comparación, con Reader 9 explotar una vulnerabilidad tan solo requería evadir DEP, y si Reader se estaba ejecutando con privilegios de administrador la explotación exitosa resultaría en resultados fatales. Ahora, con Reader X, se ha de hallar una brecha en la sandbox, evadir protecciones, explotar una vulnerabilidad en el proceso 'Broker', volver a evadir protecciones y elevar privilegios ya que dicho proceso, como se ha comentado, corre con derechos restringidos.
Naturalmente, esto no quiere decir que ni se dejen de encontrar fallos, ni que éstos dejen de ser explotables, pero sin duda va a representar un nuevo aliciente o reto franquear esta nueva frontera (como ya se han hecho con otras) para aquellos que buscan la sensación de ver aparecer a la calculadora de Windows por el escritorio llamada desde donde no debiera.
El tiempo nos dirá si esta nueva etapa permite llevar la tranquilidad a los usuarios y sacar a Adobe de los titulares en la sección de seguridad.
De momento Reader X se ha publicado en su versión inglesa, se espera que próximamente se publiquen en el resto de idiomas habituales.
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Adobe Reader X is here!
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html
Introducing Adobe Reader Protected Mode
http://blogs.adobe.com/asset/2010/07/%20introducing-adobe-reader-protected-mode.html
