Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social digg  Bookmarking social delicious  Bookmarking social reddit  Bookmarking social stumbleupon  Bookmarking social slashdot  Bookmarking social yahoo  Bookmarking social google  Bookmarking social blogmarks  Bookmarking social live      

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


El formato PDF, de nuevo en el punto de mira

Ver el tema anterior Ver el tema siguiente Ir abajo

El formato PDF, de nuevo en el punto de mira

Mensaje por Gaillimh el Lun Sep 29, 2008 7:00 am

Hispasec - una-al-día 28/09/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

El formato PDF, de nuevo en el punto de mira
--------------------------------------------

Al parecer se ha detectado un paquete de exploits capaz de aprovechar
vulnerabilidades en el lector más usado de este formato, Adobe Reader.
El "PDF Xploit Pack" permite explotar vulnerabilidades y gestionar de
forma centralizada a las víctimas en las que se ha conseguido ejecutar
código arbitrario. Muy al estilo del Mpack o cualquier otro producto
engendrado por la industria del malware, pero específico para este
producto.

"PDF Xploit Pack" parece ser el primer paquete de exploits que se
encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el
lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden
aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino
también a través del navegador porque permiten visualizar archivos PDF
incrustados en él gracias a un plugin. Los atacantes están consiguiendo
(como viene siendo habitual) violar la seguridad de páginas legítimas y
esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace
especialmente manipulado que aprovecha las vulnerabilidades.

Lo que no se aclara desde la fuente original es si el paquete aprovecha
vulnerabilidades conocidas (para las que se pueda estar protegido con
las últimas versiones del lector) o desconocidas hasta el momento.

El archivo PDF, cuando se abre con el lector vulnerable, descarga otro
malware que realmente contiene el payload. Hay que recordar que el
formato PDF ya fue usado como "downloader" en febrero de este mismo año,
y el ataque resultó bastante "popular". Instalaba el troyano Zonebac.

Hace justo un año, se aprovechó también de forma masiva una
vulnerabilidad compartida entre Adobe Reader y Windows con Internet
Explorer 7. En esta ocasión se usaba el fallo para, a través de una
línea de comandos incrustada en el PDF, descargar por FTP y ejecutar
código automáticamente al abrir el fichero. También ese mismo año, en
junio, se popularizó de forma fulgurante pero efímera el correo basura
en formato PDF, inundando los buzones de todo el mundo y eludiendo unos
filtros antispam que no estaban preparados.

¿Qué hacer?

Aunque el US CERT haya lanzado una alerta, no es necesario modificar los
hábitos saludables de navegación. Los lectores de una al día ya saben
que no sólo los ejecutables, sino que ningún formato de archivo es
confiable hoy en día. El problema está en los lectores que interpretan
ese archivo, no en el formato, y todos los lectores (como cualquier
programa) pueden contener fallos.

También hay que tener en cuenta que la noticia original (de donde se
basa la alerta de US CERT) está lanzada desde una empresa que vende
productos para precisamente protegerse de estos problemas, con lo que
quizás el paquete no se esté difundiendo especialmente "in the wild" en
estos momentos. En cualquier caso esto no le resta importancia ni los
desacredita en absoluto. Hace tiempo que los atacantes buscan nuevas
formas de engañar a los filtros automáticos y a los usuarios. Con
formatos históricamente confiables es más sencillo ejecutar código en
sus sistemas. Por tanto, la existencia de un pack que permite de forma
cómoda explotar y crear una botnet a través de fallos en el lector PDF,
resulta atractiva para la industria del malware. Los usuarios, que no
suelen parchear su versión de Windows y mucho menos el resto de
programas (como Adobe Reader) hacen el resto poniéndoselo muy fácil.

Por último, recalcar que los exploits están enfocados hacia Adobe PDF
Reader porque es el más popular. Actualizar a la última versión del
producto o usar programas menos conocidos como Foxit PDF Reader, puede
proteger también en cierta medida a los usuarios.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3627/comentar

Más información:

25/10/2007 Archivos PDF aprovechan un fallo en Adobe Reader para
infectar sistemas
http://www.hispasec.com/unaaldia/3288

11/02/2008 Una vulnerabilidad en Adobe Reader está siendo aprovechada
para instalar malware
http://www.hispasec.com/unaaldia/3397

Adobe PDF Exploit Toolkits Circulating
http://www.us-cert.gov/current/index.html#adobe_pdf_exploit_toolkits_circulating

Rise Of The PDF Exploits
http://www.trustedsource.org/blog/153/Rise-Of-The-PDF-Exploits


Sergio de los Santos
ssantos@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.