Vulnerabilidad en Adobe Reader descarga troyano

Las versiones anteriores a la 8.1.2 de Adobe Reader contienen una vulnerabilidad del tipo desbordamiento de búfer, la cuál está siendo utilizada actualmente para la propagación de código malicioso.

El exploit, un script embebido en un archivo PDF actualmente detectado como PDF/Exploit.Pidief.A por ESET NOD32, descarga otros malwares.

Hasta el momento, uno de los troyanos descargados pertenece a la familia de los KillAV (también detectado como variante del Bagle), capaz de deshabilitar los procesos de conocidos antivirus y modificar la configuración de las zonas de seguridad de Internet, para habilitar la ejecución de otros programas no autorizados. También es llamado Zonebac.A (o sus variantes) por otros vendedores.

Debemos tener en cuenta que luego que el exploit se ejecuta (o sea, si el usuario abre un archivo PDF modificado para que ello ocurra), es posible descargar cualquier otra clase de código malicioso, por lo que el hecho de que el KillAV (o Zonebac), sea uno de los detectados hasta el momento, puede considerarse meramente informativo.

El problema se produce por una insuficiente validación del código JavaScript en el control de Adobe Reader que permite la apertura de archivos PDF directamente en el navegador, lo que habilita la copia de ciertas cadenas a un búfer de insuficiente tamaño. El exploit agrega código que sobrescribe áreas críticas del programa para ejecutarse.

El ataque debe provocarse a través del enlace a un PDF en un sitio Web. Si no se ejecuta el PDF dentro del navegador, la vulnerabilidad no podría ser explotada. Un método para evitar esto, es descrito en nuestro artículo “Cómo hacer que un archivo PDF no se abra en el navegador”, http://www.vsantivirus.com/faq-acrobat-pdf-navegador.htm

Los archivos PDF son ampliamente utilizados hoy en día en múltiples actividades, por lo que el riesgo de infección es muy alto. Por ello recomendamos la actualización urgente de Adobe Reader.

Aquellos usuarios que no puedan actualizarse a la versión 8.1.2 del programa, pueden utilizar otras opciones para leer archivos PDF. En VSAntivirus hemos probado la aplicación Foxit Reader 2.2, con muy buenos resultados hasta el momento.

Foxit funciona en Windows 98, ME, 2000, XP, 2003 y Vista, y es gratuito para uso personal. Puede ser configurado al idioma español desde la lengüeta “Language”, descargándose desde Internet un simple archivo XML.

Aconsejamos habilitar la opción para descargar los archivos PDF cuando se hace clic en un enlace a ellos desde Internet, en lugar de que se abran en el navegador. En Foxit, dicha opción se encuentra en “Editar”, “Preferencias”, “Internet”, donde debemos tildar la casilla “Show file download dialog”.

Más información:

Adobe JavaScript methods buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/666281

Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware
http://www.hispasec.com/unaaldia/3397/

Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
http://www.vsantivirus.com/vul-acrobat-812-060208.htm

PDF/Exploit.Pidief.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=4250

Win32/Zonebac.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=4251

Descarga Adobe Reader 8.1.2

http://www.adobe.es/products/acrobat/readstep2.html

Descarga Foxit 2.2

http://www.foxitsoftware.com/pdf/reader_2/down_reader.htm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: