Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader. El “PDF Xploit Pack” permite explotar vulnerabilidades y gestionar de forma centralizada a las víctimas en las que se ha conseguido ejecutar código arbitrario. Muy al estilo del Mpack o cualquier otro producto engendrado por la industria del malware, pero específico para este producto.

“PDF Xploit Pack” parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.

Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento.

El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como “downloader” en febrero de este mismo año, y el ataque resultó bastante “popular”. Instalaba el troyano Zonebac.

Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados.

¿Qué hacer?

Aunque el US CERT haya lanzado una alerta, no es necesario modificar los hábitos saludables de navegación. Los lectores de una al día ya saben que no sólo los ejecutables, sino que ningún formato de archivo es confiable hoy en día. El problema está en los lectores que interpretan ese archivo, no en el formato, y todos los lectores (como cualquier programa) pueden contener fallos.

También hay que tener en cuenta que la noticia original (de donde se basa la alerta de US CERT) está lanzada desde una empresa que vende productos para precisamente protegerse de estos problemas, con lo que quizás el paquete no se esté difundiendo especialmente “in the wild” en estos momentos. En cualquier caso esto no le resta importancia ni los desacredita en absoluto. Hace tiempo que los atacantes buscan nuevas formas de engañar a los filtros automáticos y a los usuarios. Con formatos históricamente confiables es más sencillo ejecutar código en sus sistemas. Por tanto, la existencia de un pack que permite de forma cómoda explotar y crear una botnet a través de fallos en el lector PDF, resulta atractiva para la industria del malware. Los usuarios, que no suelen parchear su versión de Windows y mucho menos el resto de programas (como Adobe Reader) hacen el resto poniéndoselo muy fácil.

Por último, recalcar que los exploits están enfocados hacia Adobe PDF Reader porque es el más popular. Actualizar a la última versión del producto o usar programas menos conocidos como Foxit PDF Reader, puede proteger también en cierta medida a los usuarios.

FUENTE

Múltiples vulnerabilidades que afectan a Adobe Reader, han sido solucionadas en la última actualización para esta aplicación, ampliamente utilizada para la lectura de archivos PDF.

Los detalles concretos de las vulnerabilidades no han sido especificados, salvo los nombres descriptivos de las mismas, las cuáles serían 26.

Se conoce la existencia de exploits para algunos de estos problemas, aunque no son públicos aún. Responsables de Secunia por su parte, piensan que las vulnerabilidades son serias, y que podrían comprometer un PC que no haya sido actualizado.

El año pasado, muchos malwares se aprovecharon de fallos en archivos PDF para infectar los equipos de usuarios que abrían estos archivos desde enlaces en páginas y correos electrónicos.

Son vulnerables las versiones anteriores a la 8.1.2, y son afectados usuarios de Windows 2000 SP4, Windows XP SP2, Windows 2003 Server, Windows Vista y Macintosh 10.4.3. No se proporcionan actualizaciones para otras plataformas y versiones, pero las mismas también podrían ser vulnerables.

Acrobat Reader 8.1.2 requiere por lo menos un procesador Intel Pentium III o equivalente, con 128 MB de RAM como mínimo, y funciona solo en Microsoft Windows Vista, Windows XP Professional, Home Edition, o Tablet PC Edition con Service Pack 2, Microsoft Windows 2000 con Service Pack 4 o Windows 2003 Server, con Microsoft Internet Explorer 6.0 o 7.0, Firefox 1.5 o 2.0, Mozilla 1.7, AOL 9.

También hay versiones para usuarios de Macintosh y Linux.

Descargas:

Descarga de Adobe Reader (Acrobat Reader)
http://www.adobe.es/products/acrobat/readstep2.html

Apéndice:

Cómo hacer que un archivo PDF no se abra en el navegador

Cuando usted hace clic en el enlace a un documento PDF, una de las siguientes acciones pueden producirse en su PC, dependiendo de la configuración de las preferencias de Adobe Acrobat Reader:

1. El documento PDF se abre en la ventana del Internet Explorer

2. El documento PDF se abre en Acrobat Reader

Estas acciones, que tal vez sean consideradas una comodidad para muchos, también implica un mayor riesgo, desde que las nuevas versiones de estos documentos pueden incluir scripts, y además existen múltiples vulnerabilidades para explotar esto, sobre todo a nivel del complemento utilizado por los navegadores para abrir un PDF directamente desde Internet.

Creemos que la mejor opción es poder seleccionar descargar el archivo a nuestro PC antes de abrirlo con la aplicación correspondiente (Adobe Reader).

Para que ello ocurra, deben aplicarse los siguientes cambios en el sistema:

1. Haga clic en Inicio, Ejecutar, escriba REGEDIT.EXE y pulse Enter.

2. Busque en el registro la siguiente entrada (puede no existir, en ese caso siga con el paso 5):

HKEY_CLASSES_ROOT\AcroPDF.PDF.1

3. Si existe, haga una copia de respaldo, haciendo clic en “AcroPDF.PDF.1″. Luego abra el menú desplegable “Archivo” y seleccione “Exportar”. Marque “Rama seleccionada” y guarde el .REG generado.

4. En la ventana de la derecha, haga clic sobre el valor “EditFlags” y cambie “00 00 01 00″ por “00 00 00 00″ (cuatro grupos de ceros). Si no existe “EditFlags”, cree un nuevo valor con ese nombre (botón derecho, “Nuevo valor binario”), y en información del valor escriba “00 00 00 00″.

5. Busque la siguiente clave:

HKEY_CLASSES_ROOT\AcroExch.Document.7

6. Repita los pasos 3 y 4 para hacer un respaldo de la rama “AcroExch.Document.7″, y para cambiar el valor de “EditFlags” por “00 00 00 00″.

7. Cierre el editor del registro.

Ahora, cada vez que haga clic sobre el enlace a un archivo PDF, se le pedirá grabar el archivo al disco, o abrirlo (lo hará con Acrobat Reader).

Esta no es una solución contra todas los posibles ataques, pero puede evitarle algunos disgustos.

FUENTE