dunanea
Residente
Por Angela Ruiz
[email protected]
Las versiones anteriores a la 8.1.2 de Adobe Reader contienen una vulnerabilidad del tipo desbordamiento de búfer, la cuál está siendo utilizada actualmente para la propagación de código malicioso.
El exploit, un script embebido en un archivo PDF actualmente detectado como PDF/Exploit.Pidief.A por ESET NOD32, descarga otros malwares.
Hasta el momento, uno de los troyanos descargados pertenece a la familia de los KillAV (también detectado como variante del Bagle), capaz de deshabilitar los procesos de conocidos antivirus y modificar la configuración de las zonas de seguridad de Internet, para habilitar la ejecución de otros programas no autorizados. También es llamado Zonebac.A (o sus variantes) por otros vendedores.
Debemos tener en cuenta que luego que el exploit se ejecuta (o sea, si el usuario abre un archivo PDF modificado para que ello ocurra), es posible descargar cualquier otra clase de código malicioso, por lo que el hecho de que el KillAV (o Zonebac), sea uno de los detectados hasta el momento, puede considerarse meramente informativo.
El problema se produce por una insuficiente validación del código JavaScript en el control de Adobe Reader que permite la apertura de archivos PDF directamente en el navegador, lo que habilita la copia de ciertas cadenas a un búfer de insuficiente tamaño. El exploit agrega código que sobrescribe áreas críticas del programa para ejecutarse.
El ataque debe provocarse a través del enlace a un PDF en un sitio Web. Si no se ejecuta el PDF dentro del navegador, la vulnerabilidad no podría ser explotada. Un método para evitar esto, es descrito en nuestro artículo "Cómo hacer que un archivo PDF no se abra en el navegador", Cómo hacer que un archivo PDF no se abra en el navegador
Los archivos PDF son ampliamente utilizados hoy en día en múltiples actividades, por lo que el riesgo de infección es muy alto. Por ello recomendamos la actualización urgente de Adobe Reader.
Aquellos usuarios que no puedan actualizarse a la versión 8.1.2 del programa, pueden utilizar otras opciones para leer archivos PDF. En VSAntivirus hemos probado la aplicación Foxit Reader 2.2, con muy buenos resultados hasta el momento.
Foxit funciona en Windows 98, ME, 2000, XP, 2003 y Vista, y es gratuito para uso personal. Puede ser configurado al idioma español desde la lengüeta "Language", descargándose desde Internet un simple archivo XML.
Aconsejamos habilitar la opción para descargar los archivos PDF cuando se hace clic en un enlace a ellos desde Internet, en lugar de que se abran en el navegador. En Foxit, dicha opción se encuentra en "Editar", "Preferencias", "Internet", donde debemos tildar la casilla "Show file download dialog".
Más información:
Adobe JavaScript methods buffer overflow vulnerability
US-CERT Vulnerability Note VU#666281
Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware
Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware - Hispasec - Una al día 11/02/2008
Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
PDF/Exploit.Pidief.A
Enciclopedia Virus - Ontinet.com
Win32/Zonebac.A
Enciclopedia Virus - Ontinet.com
Descarga Adobe Reader 8.1.2
Adobe - Descarga de Adobe Reader - Todas las versiones
Descarga Foxit 2.2
Foxit Software
(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus
[email protected]
Las versiones anteriores a la 8.1.2 de Adobe Reader contienen una vulnerabilidad del tipo desbordamiento de búfer, la cuál está siendo utilizada actualmente para la propagación de código malicioso.
El exploit, un script embebido en un archivo PDF actualmente detectado como PDF/Exploit.Pidief.A por ESET NOD32, descarga otros malwares.
Hasta el momento, uno de los troyanos descargados pertenece a la familia de los KillAV (también detectado como variante del Bagle), capaz de deshabilitar los procesos de conocidos antivirus y modificar la configuración de las zonas de seguridad de Internet, para habilitar la ejecución de otros programas no autorizados. También es llamado Zonebac.A (o sus variantes) por otros vendedores.
Debemos tener en cuenta que luego que el exploit se ejecuta (o sea, si el usuario abre un archivo PDF modificado para que ello ocurra), es posible descargar cualquier otra clase de código malicioso, por lo que el hecho de que el KillAV (o Zonebac), sea uno de los detectados hasta el momento, puede considerarse meramente informativo.
El problema se produce por una insuficiente validación del código JavaScript en el control de Adobe Reader que permite la apertura de archivos PDF directamente en el navegador, lo que habilita la copia de ciertas cadenas a un búfer de insuficiente tamaño. El exploit agrega código que sobrescribe áreas críticas del programa para ejecutarse.
El ataque debe provocarse a través del enlace a un PDF en un sitio Web. Si no se ejecuta el PDF dentro del navegador, la vulnerabilidad no podría ser explotada. Un método para evitar esto, es descrito en nuestro artículo "Cómo hacer que un archivo PDF no se abra en el navegador", Cómo hacer que un archivo PDF no se abra en el navegador
Los archivos PDF son ampliamente utilizados hoy en día en múltiples actividades, por lo que el riesgo de infección es muy alto. Por ello recomendamos la actualización urgente de Adobe Reader.
Aquellos usuarios que no puedan actualizarse a la versión 8.1.2 del programa, pueden utilizar otras opciones para leer archivos PDF. En VSAntivirus hemos probado la aplicación Foxit Reader 2.2, con muy buenos resultados hasta el momento.
Foxit funciona en Windows 98, ME, 2000, XP, 2003 y Vista, y es gratuito para uso personal. Puede ser configurado al idioma español desde la lengüeta "Language", descargándose desde Internet un simple archivo XML.
Aconsejamos habilitar la opción para descargar los archivos PDF cuando se hace clic en un enlace a ellos desde Internet, en lugar de que se abran en el navegador. En Foxit, dicha opción se encuentra en "Editar", "Preferencias", "Internet", donde debemos tildar la casilla "Show file download dialog".
Más información:
Adobe JavaScript methods buffer overflow vulnerability
US-CERT Vulnerability Note VU#666281
Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware
Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware - Hispasec - Una al día 11/02/2008
Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
PDF/Exploit.Pidief.A
Enciclopedia Virus - Ontinet.com
Win32/Zonebac.A
Enciclopedia Virus - Ontinet.com
Descarga Adobe Reader 8.1.2
Adobe - Descarga de Adobe Reader - Todas las versiones
Descarga Foxit 2.2
Foxit Software
(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus