Grave vulnerabilidad en Adobe Reader X permite eludir su sandbox
Parece que, en el mercado negro, se está vendiendo por 50.000 dólares
una vulnerabilidad en Adobe Reader que permite eludir su sandbox y
ejecutar código. No es novedad un grave fallo en Adobe, pero sí que lo
es saltarse su sandbox. Lo peor: puede que ya esté siendo aprovechada
por atacantes.
En su versión X (una forma más estética de llamar a la versión 10),
Adobe introdujo una sandbox. Esta es una muy buena aproximación a la
seguridad: puesto que no se pueden eludir las vulnerabilidades, es
complejo arreglarlas a tiempo e imposible evitar que las exploten… al
menos que se contenga el ataque dentro de un entorno que no haga daño
a la máquina. Pero por supuesto, esto no es definitivo. De hecho, la
noticia es que se haya conseguido eludir esta sandbox de Adobe. No es
sencillo porque es necesario encadenar varias vulnerabilidades. Por
ejemplo, en el pasado, eludir la Sandbox de Chrome reportó un importante
beneficio económico (dentro de la legalidad al enmarcarse dentro de un
concurso) a la compañía Vupen, que lo consiguió después de 6 semanas de
trabajo.
La compañía moscovita Group-IB ha descubierto el fallo en la versión X
y XI, sin dar detalles. Para explotarla es necesario abrir un
PDF especialmente manipulado, y parece estar relacionado con los
formularios. El problema es que el navegador suele permitir abrir PDFs
con Adobe y, por tanto, solo con navegar se puede estar abriendo ese
documento malformado y quedar infectado. De hecho parece que ya está
incluida en algunas versiones “pro” de Blackhole, el famoso kit de
explotación web. Su precio en el mercado negro se sitúa entre los 30.000
y los 50.000 dólares, al parecer en pequeños círculos del mercado negro.
Pero este dato puede ser variable. Los atacantes pueden intentar cazar
un PDF que aproveche este problema (como ha hecho Group-IB) estudiarlo y
deducir el exploit y los detalles técnicos. En estos casos, cuanto menos
conocida la vulnerabilidad, más cara resulta para su comprador. Ahora
que se conoce su existencia, es cuestión de días que alguien la
descubra, se filtre información, y su precio sea cero.
Chrome, al implementar medidas de seguridad adicionales como su propia
sandbox, no se ve afectado. Esto quiere decir que si se abre un PDF
desde Chrome que intenta lanzarse directamente con Adobe X, el usuario
podría no verse afectado por la vulnerabilidad.
Se recomienda utilizar alternativas a Adobe si es posible. Si bien este
fallo es especialmente peligroso, es común que Adobe no solo sufra
graves vulnerabilidades, sino que sean aprovechadas masivamente por
atacantes. Las alternativas también sufren de problemas de seguridad,
pero al menos no suelen ser atacadas. Si no es posible, lo mejor es
deshabilitar el plugin del navegador, eliminar la posibilidad de que
se ejecute JavaScript en los PDF y por supuesto no abrir ficheros no
solicitados.
Adobe está trabajando para confirmar el fallo.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.