Esteu aquí

Vulnerabilitat d'Adobe Reader (i van ...)

A hores d'ara, ja no és notícia que es descobreixi un problema de seguretat en els lectors de PDF d'Adobe prèviament desconegut i que és aprofitat pels atacants. Últimament, és el dia a dia d'aquesta companyia. Aquesta última fallada de seguretat destaca perquè és molt més sofisticada, eludeix les proteccions de les últimes versions de Windows, i a més està signada digitalment.

S'ha descobert un nou atac contra les últimes versions d'Adobe Reader i Adobe Acrobat. Es tracta d'un desbordament de memòria intermèdia al realitzar una crida a la funció strcat en la llibreria CoolType.dll i que permet a un atacant executar codi en el sistema si la víctima obre (amb aquests programes d'Adobe) un fitxer PDF que utilitzi un tipus de lletra manipulada. La fallada és pública, i està sent aprofitat per atacants en aquests moments i Adobe ja ho ha reconegut. La pròpia companyia confirma que no existeix pegat ni contramesures disponible (habitualment era suficient amb desactivar Javascript en el Reader per a, almenys, mitigar el problema, però no és el cas en aquesta ocasió). Adobe ha actualitzat la seva alerta per a indicar que, gràcies a Microsoft Enhanced Mitigation Evaluation Toolkit (EMET) és possible bloquejar l'atac.

Aquest escenari, encara que potencialment molt perillós, no és sorprenent ni nou. Sorprèn, no obstant, les peculiaritats amb les quals els atacants han aprofitat la fallada per a executar el codi arbitrari (i que, evidentment i a la fí, resulta en malware). El més cridaner és que els atacants han treballat a fons per a poder aprofitar la vulnerabilitat usant tècniques molt recents i sofisticades que resulten en l'ús de certificats reals per a signar el malware, com el "recent" troià Stuxnet.

A primera vista, la fallada no és senzilla d'explotar. Al desbordar la memòria, la pila queda en un estat no massa "ideal" per a utilitzar l'adreçament de tornada adequat i executar codi. Per a eludir aquests problemes, els atacants han usat una llibreria icucnv36.dll que no suporta ASLR (bàsicament, sempre està en la mateixa zona de memòria i això serveix de referència per a llançar codi) i han usat una tècnica coneguda com ROP (Return oriented programming). A sobre en aquest cas, atès que la llibreria no dóna molt joc (no importa funcions interessants que permetin fàcilment fer crides a codi) l'atacant es val d'altres
tècniques menys potents que, combinades, aconsegueixen el seu objectiu. Tota una explosió de coneixements.

Una vegada executat, el binari que executen els atacants (incrustat en el PDF, encara que també en descàrrega altres) està signat amb un certificat real i robat, igual que va fer Stuxnet fa un parell de mesos (es tracta del malware que s'executava gràcies a la infame vulnerabilitat en els arxius LNK de Windows). En aquest cas es tracta d'un certificat robat a Vantage Credit Union. Altre toc de professionalitat. Hi ha qui pronostica que el malware signat serà tendència en 2011.

Adobe té previst el seu següent cicle d'actualitzacions a l'octubre (cap el dia 4), però (una vegada més), segur que publica un pegat abans. Des de fa temps, el període de tres mesos que van triar per a publicar pegats els ve massa llarg, i les excepcions en les quals han hagut de trencar el cicle i publicar pegats "fora de temps" han estat nombroses. Potser massa nombroses ??.

Aquí podeu trobar una llista de lectors / editors i creadors de fitxers en format PDF. I si no, directament descarregueu el Foxit Reader que no en sortireu decebuts.

Tags: