• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    Adobe Acrobat Reader "Vulnerable"

    A mediados de julio se alertó de una vulnerabilidad en principio "compartida" entre Microsoft Windows (en concreto Internet Explorer 7) y Firefox que podía ser aprovechada por atacantes para ejecutar código arbitrario en el sistema. ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Adobe Acrobat Reader "Vulnerable"

      A mediados de julio se alertó de una vulnerabilidad en principio "compartida" entre Microsoft Windows (en concreto Internet Explorer 7) y Firefox que podía ser aprovechada por atacantes para ejecutar código arbitrario en el sistema. El problema se creía compartido entre Microsoft Windows y la interacción con otros navegadores. Ahora se sabe que la vulnerabilidad es más compleja, y que salpica a programas tan populares como Adobe Acrobat Reader e incluso mIRC.

      El problema en sí se debe a un fallo de validación de entrada en el manejo de URIs y URLs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:... pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. Desde hace poco se sabe que incluso el protocolo http puede ser modificado para que, al visitar una dirección manipulada, se ejecute código. En la práctica, si un usuario de Windows, visita un enlace (en un PDF, o a través de la ventana de conversación de Skype, entre otros) especialmente manipulado que contenga el carácter "%" y termine con extensiones ejecutables como .bat y .cmd, un atacante podría lanzar código arbitrario.

      Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema. Sólo funciona sobre Windows XP y 2003, no sobre Vista. Con el paso de las semanas, se ha ido demostrando que aunque se lance a través de otros programas, el origen del fallo está en Microsoft, pues se ha conseguido reproducir la vulnerabilidad con Firefox (que lo ha solucionado en parte), Miranda, Netscape, Skype (que ha publicado un parche), Adobe Acrobat Reader e incluso el popular cliente de IRC mIRC.

      Probablemente se encontrará con el tiempo más software que permita aprovechar la vulnerabilidad. Se ha demostrado que incluso con sólo abrir un documento PDF con Adobe Reader, sin necesidad de pulsar sobre un enlace, es posible ejecutar código alojado en el sistema.

      Microsoft mantiene que el fallo no es un problema en sí de su sistema o navegador, y por tanto por ahora no se publicará ninguna actualización. Ante la discusión exigiendo responsabilidades, se critica que este fallo no se da en un XP con IE6 instalado, por lo tanto ha sido introducido con la nueva versión del navegador y debe ser reparado.

      Como todo software nuevo, IE7 debe mejorar la seguridad de su predecesor (y lo hace en algunos aspectos), pero también debe incluir mejoras o cambios que son susceptibles de contener nuevas vulnerabilidades o convertirse en vectores de ataque, y el fallo de manejo de direcciones constituye el mejor ejemplo. Aunque en la práctica, desde que apreció IE7, nos hemos encontrado con vulnerabilidades que afectan solo a IE6, sólo a IE7 y a ambos.

      Esto ocurre la misma semana en la que Microsoft ha decidido, después de un año, hacer que la versión 7 de su navegador esté disponible libremente para todo el mundo, independientemente de que su Windows demuestre ser "genuino" y original. El número de potenciales usuarios aumenta.

      Mientras tanto, se recomienda no seguir enlaces no confiables y esperar a que los distintos programas afectados vayan creando parches o nuevas versiones que impidan que se conviertan en un vector de ataque. Adobe por su parte ha publicado una contramedida que implica cambios en el registro, disponible en el apartado de más información.


      Más Información:

      31/07/2007 Fallos "compartidos" y actualización de productos Mozilla
      Fallos "compartidos" y actualización de productos Mozilla - Hispasec - Una al día 31/07/2007

      URI problem also affects Acrobat Reader and Netscape
      heise Security - News - URI problem also affects Acrobat Reader and Netscape

      Workaround available for vulnerability in versions 8.1 and earlier of
      Adobe Reader and Acrobat
      Adobe - Workaround available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat

    2. #2
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas

      "Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas"
      • Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado en (sorpresa, sorpresa) la Russian Bussines Network.

        En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora... pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.

        El problema en sí se debe a un fallo de validación de entrada en el manejo de URIs y URLs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:... pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. En la práctica, si un usuario de Windows abre un PDF especialmente manipulado, éste preparará a través de la consola una descarga por FTP del malware y lo ejecutará de forma transparente.

        Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema. Sólo funciona sobre Windows XP y 2003, no sobre Vista. Adobe Acrobat Reader es uno de los muchos programas salpicados por una vulnerabilidad original de Windows. Microsoft por su parte, ya reconoce el fallo y se supone publicará una actualización que atajará el problema de raíz.

        El archivo detectado es un PDF que, al abrirlo con Adobe Reader, descarga un pequeño archivo de 30k por FTP de forma automática y lo ejecuta. El malware descargado es detectado hoy por un 68.75% de nuestros motores en VirusTotal.com, aunque el ejecutable puede ser reemplazado o modificado en cualquier momento. Lo interesante es que la dirección IP desde donde lo descarga lleva casi tres días activa, impunemente en pie y conocida por todos (se ve a simple vista incrustada en los archivos PDF con los que intentan infectar). Esta dirección IP (81.95.146.xyz ) pertenece a la RBN, Russian Bussines Network y quizás sea esta la razón por la que se mantiene online. Aunque para los atacantes, tampoco sería mayor problema que desapareciera. El exploit es sencillo, público y sólo habría que modificar la dirección IP y la ruta del archivo para comenzar otra oleada de spam con archivos PDF infectados y un nuevo malware para descargar.

        Adobe ha lanzado un parche que subsana la vulnerabilidad para las versiones 8.x de Adobe Reader y Adobe Acrobat. Los enlaces se encuentra en la sección de más información. No existe aún parche para la rama 7.x. En cualquier caso la recomendación es clara: ignorar archivos PDF no solicitados o usar alternativas para abrirlos en el caso de que sea posible: Gsview para Windows, puede resultar una alternativa válida, pues no parece vulnerable. No así Foxit Reader, que sí que sufre también este fallo aunque necesita de interacción por parte del usuario. Con Adobe la ejecución sería automática.




      Más Información:


      17/10/2007 ¿Es la Russian Business Network el centro de operaciones
      mundial del malware?
      ¿Es la Russian Business Network el centro de operaciones mundial del malware? - Hispasec - Una al día 17/10/2007

      21/09/2007 Posible ejecución de código arbitrario a través de archivos
      PDF en Adobe Acrobat Reader
      Posible ejecución de código arbitrario a través de archivos PDF en Adobe Acrobat Reader - Hispasec - Una al día 21/09/2007

      08/10/2007 La vulnerabilidad de manejo de direcciones también salpica a
      Adobe Acrobat Reader
      La vulnerabilidad de manejo de direcciones también salpica a Adobe Acrobat Reader - Hispasec - Una al día 08/10/2007

      Se populariza el spam en formato PDF
      Listado de noticias unaaldia

      Actualizaciones:
      Adobe - Adobe Reader : For Windows
      Adobe - Acrobat : For Windows

    3. #3
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware

      El día 6 de febrero Adobe publicaba una nueva versión del popular Adobe Reader que solucionaba varios problemas de seguridad. Sin dar apenas detalles, se recomendaba la actualización a la versión 8.1.2 que solucionaba "múltiples vulnerabilidades de impacto desconocido". Durante el fin de semana se ha sabido que uno de estos fallos está siendo aprovechado de forma masiva para instalar malware... desde hace semanas.

      La versión 8.1.2 apareció el día 6 de febrero, pero no ha sido hasta el día 9 que Idefense hizo público varios boletines que en los que, sin dar detalles técnicos, se adjudicaba el descubrimiento. Según el boletín, Adobe fue notificado de las vulnerabilidades a principios de octubre de 2007. El fallo en concreto que está siendo explotado está relacionado con desbordamientos de memoria intermedia a través de JavaScript. Inmunity, empresa desarrolladora de CANVAS, publicó por su parte en cuanto estuvo disponible la actualización de Adobe, un exploit para sus suscriptores.

      Durante el fin de semana se ha sabido que desde al menos el día 20 de enero, uno de estos fallos está siendo aprovechado para instalar malware, en concreto Zonebac. El usuario quedaría infectado con sólo abrir un archivo PDF con Adobe Acrobat anterior a la versión 8.1.2 y el malware se ejecutaría con los permisos del usuario ejecutando la aplicación vulnerable. Zonebac es un malware especializado en adware y el payload del ataque se descarga, como viene siendo habitual, de un servidor remoto (no va incluido en el PDF que está siendo distribuido).

      Al parecer Zonebac fue también el malware que instalaba la famosa vulnerabilidad descubierta en octubre y que afectaba a RealPlayer. En aquella ocasión, el fallo se dio a conocer cuando ya estaba siendo aprovechado por malware. Incluso fue descubierto por esa misma razón. También en octubre se detectaron PDFs que aprovechaban una vulnerabilidad compartida entre Microsoft Windows y Adobe Reader, y que también descargaba de forma automática malware en el sistema.

      Durante este último fin de semana, ningún antivirus era capaz de detectar un PDF que intentase aprovechar el fallo. Una de las muestras que ha llegado a través de VirusTotal, es hoy detectada por:

      AVG Generic_c.GGU
      Fortinet W32/AdobeReader!exploit
      F-Secure Exploit.Win32.Pidief.a
      Kaspersky Exploit.Win32.Pidief.a
      Microsoft Exploit:Win32/Pdfjsc.A
      Symantec Trojan.Pidief.C
      Webwasher-Gateway Exploit.PDF.ZoneBac.gen (suspicious)

      Aunque hay que advertir que pronto será detectada por más motores (dado el impacto mediático del asunto). También es necesario tener en cuenta la capacidad de detección del payload en sí, que es descargado por separado, puesto que el archivo PDF es solo el vehículo para la ejecución inadvertida. Este puede ser reemplazado en el servidor en cualquier momento.

      Como curiosidad, la muestra que hemos estudiado está creada con iText 2.0.7, una librería Java de código abierto usada para generar y manipular archivos PDF. Y su fecha de creación según el código (que posiblemente no tenga nada que ver con la realidad) es del 28 de enero.

      Adobe ha decidido no actualizar la rama 7.x de su producto, con lo que la solución pasa por actualizar a la 8.1.2 desde su web oficial, o utilizar (si es posible) alternativas como Foxit Reader.


      Más Información:

      22/10/2007 Vulnerabilidad en RealPlayer permite ejecución de código
      Vulnerabilidad en RealPlayer permite ejecución de código - Hispasec - Una al día 22/10/2007

      25/10/2007 Archivos PDF aprovechan un fallo en Adobe Reader para
      infectar sistemas
      Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas - Hispasec - Una al día 25/10/2007

      06/02/2008 Vulnerabilidades de impacto desconocido en Adobe Reader 8.x
      Vulnerabilidades de impacto desconocido en Adobe Reader 8.x - Hispasec - Una al día 06/02/2008

    4. #4
      Baneado Avatar de guess who
      Registrado
      feb 2007
      Ubicación
      ...
      Mensajes
      637

      Re: Adobe Acrobat Reader "Vulnerable"

      guenas

      xeso yo le apuesto en winBUG$ a 'sumatra PDF'...

      Sumatra PDF Portable | PortableApps.com - Portable software for USB drives
      ---------------------------------------------------------------------------------------------------

      Sumatra PDF es un visualizador de archivos PDF que apuesta por el minimalismo y la rapidez.

      Tanta simplicidad se traduce en que sólo cuenta con las opciones justas, pero en la mayoría de ocasiones no se necesita mucho más.

      En cambio, las funciones que sí incluye Sumatra PDF son: imprimir, rotar y tres modos diferentes de visualización (Facing, Continuous y Continuous Facing).

      uds. saben lo q 'pesa' acrobat? xD!...este en kambio sólo 1,1 meguilla

    5. #5
      Usuaria Avatar de Aguazull
      Registrado
      ene 2008
      Ubicación
      España
      Mensajes
      89

      Re: Adobe Acrobat Reader "Vulnerable"

      Muchas gracias por la noticia Kontainer ....
      Actualizando ya estoy a la versión 8.1.2.
      Aprovechan todo eh, para meter malwares?...Bufff..

      Saludos!
      Aguazull.

      Hola ghess who, sumatra es para windows y para linux también? Me estoy interesando por hacer una partición e instalar linux..no sé cual. -no lo usé nunca, ubuntu, suse, ?..incluso guadalinex, por cuestiones educativas, ese va bien ?..
      Y sin tener que instalarlo en el disco duro? se puede ?


      Gracias..
      Aguazull.
      Última edición por LeandroMed fecha: 12/02/08 a las 16:42:19 Razón: Unir posts.

    6. #6
      Baneado Avatar de guess who
      Registrado
      feb 2007
      Ubicación
      ...
      Mensajes
      637

      Re: Adobe Acrobat Reader "Vulnerable"

      Cita Originalmente publicado por Aguazull Ver Mensaje
      Hola ghess who, sumatra es para windows y para linux también? Me estoy interesando por hacer una partición e instalar linux..no sé cual. -no lo usé nunca, ubuntu, suse, ?..incluso guadalinex, por cuestiones educativas, ese va bien ?..
      Y sin tener que instalarlo en el disco duro? se puede ?

      guenas

      WUBI te instala los buntus en winBUG$ como 1programa+ ...

      los dc vivo(todas las distros aktualmente) no te tokan el dd(excelente para q veas lo q te vas a enkontrar)...

      en el pinguino hay una variedad de visores de dokumentos de 1era xD! ...

      sumatra es sólo pa willDOWN...

      Última edición por guess who fecha: 12/02/08 a las 13:50:49

    7. #7
      Usuaria Avatar de Aguazull
      Registrado
      ene 2008
      Ubicación
      España
      Mensajes
      89

      Re: Adobe Acrobat Reader "Vulnerable"

      Muchas gracias ghess who.

      He actualizado Adobe Reader 8 de momento.
      Miraré lo del WUBI y cd/live.


      Saludos.
      Aguazull.