-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 28/09/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
El formato PDF, de nuevo en el punto de mira
--------------------------------------------
Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader.
El "PDF Xploit Pack" permite explotar vulnerabilidades y gestionar de
forma centralizada a las víctimas en las que se ha conseguido ejecutar
código arbitrario. Muy al estilo del Mpack o cualquier otro producto
engendrado por la industria del malware, pero específico para este
producto.
"PDF Xploit Pack" parece ser el primer paquete de exploits que se
encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el
lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo
(como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.
Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con
las últimas versiones del lector) o desconocidas hasta el momento.
El archivo PDF, cuando se abre con el lector vulnerable, descarga otro
malware que realmente contiene el payload. Hay que recordar que el
formato PDF ya fue usado como "downloader" en febrero de este mismo año,
y el ataque resultó bastante "popular". Instalaba el troyano Zonebac.
Hace justo un año, se aprovechó también de forma masiva una
vulnerabilidad compartida entre Adobe Reader y Windows con Internet
Explorer 7. En esta ocasión se usaba el fallo para, a través de una
línea de comandos incrustada en el PDF, descargar por FTP y ejecutar
código automáticamente al abrir el fichero. También ese mismo año, en
junio, se popularizó de forma fulgurante pero efímera el correo basura
en formato PDF, inundando los buzones de todo el mundo y eludiendo unos
filtros antispam que no estaban preparados.
¿Qué hacer?
Aunque el US CERT haya lanzado una alerta, no es necesario modificar los hábitos saludables de navegación. Los lectores de una al día ya saben
que no sólo los ejecutables, sino que ningún formato de archivo es
confiable hoy en día. El problema está en los lectores que interpretan
ese archivo, no en el formato, y todos los lectores (como cualquier
programa) pueden contener fallos.
También hay que tener en cuenta que la noticia original (de donde se
basa la alerta de US CERT) está lanzada desde una empresa que vende
productos para precisamente protegerse de estos problemas, con lo que
quizás el paquete no se esté difundiendo especialmente "in the wild" en
estos momentos. En cualquier caso esto no le resta importancia ni los desacredita en absoluto. Hace tiempo que los atacantes buscan nuevas
formas de engañar a los filtros automáticos y a los usuarios. Con
formatos históricamente confiables es más sencillo ejecutar código en
sus sistemas. Por tanto, la existencia de un pack que permite de forma
cómoda explotar y crear una botnet a través de fallos en el lector PDF,
resulta atractiva para la industria del malware. Los usuarios, que no
suelen parchear su versión de Windows y mucho menos el resto de
programas (como Adobe Reader) hacen el resto poniéndoselo muy fácil.
Por último, recalcar que los exploits están enfocados hacia Adobe PDF
Reader porque es el más popular. Actualizar a la última versión del
producto o usar programas menos conocidos como Foxit PDF Reader, puede
proteger también en cierta medida a los usuarios.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3627/comentar
Más información:
25/10/2007 Archivos PDF aprovechan un fallo en Adobe Reader para
infectar sistemas
http://www.hispasec.com/unaaldia/3288
11/02/2008 Una vulnerabilidad en Adobe Reader está siendo aprovechada
para instalar malware
http://www.hispasec.com/unaaldia/3397
Adobe PDF Exploit Toolkits Circulating
http://www.us-cert.gov/current/index.html#adobe_pdf_exploit_toolkits_circulating
Rise Of The PDF Exploits
http://www.trustedsource.org/blog/153/Rise-Of-The-PDF-Exploits
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
-----------------
28/09/2007: Elevación local de privilegios en el kernel bajo plataformas de 64 bits
http://www.hispasec.com/unaaldia/3261
28/09/2006: Nuevas vulnerabilidades en Internet Explorer y PowerPoint
http://www.hispasec.com/unaaldia/2896
28/09/2005: Salto de restricciones de seguridad en Check Point Firewall
http://www.hispasec.com/unaaldia/2531
28/09/2004: Nueva actualización de seguridad de Subversion
http://www.hispasec.com/unaaldia/2166
28/09/2003: Impacto del monopolio de Microsoft en la seguridad
http://www.hispasec.com/unaaldia/1799
28/09/2002: Vulnerabilidad en Bea WebLogic Server y Express
http://www.hispasec.com/unaaldia/1434
28/09/2001: Problemas de seguridad en Bugzilla
http://www.hispasec.com/unaaldia/1069
28/09/2000: La Agencia de Protección de Datos multa a Telefónica
http://www.hispasec.com/unaaldia/704
28/09/1999: Cifrado seguro utilizando una simple baraja de póker
http://www.hispasec.com/unaaldia/336
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)