Según informan en Hispasec, en el mercado negro, por unos cuantos miles de dólares se está vendiendo una vulnerabilidad en el lector de documentos PDF, Adobe Reader la cual permite eludir su sandbox y ejecutar código arbitrario. Este grave fallo en Adobe, no es novedad pero sí lo es saltarse su sandbox. Y lo que es peor: puede que probablemente ya esté siendo aprovechada por atacantes.

La compañía Adobe introdujo una sandbox en su versión X de Reader (una forma más estética de llamar a la versión 10). Esta es una muy buena aproximación a la seguridad: puesto que no se pueden eludir las vulnerabilidades, es complejo arreglarlas a tiempo e imposible evitar que las exploten… al menos que se contenga el ataque dentro de un entorno que no haga daño a la máquina. Pero esto, no es definitivo por supuesto. De hecho lo importante en esta noticia, es que se haya conseguido eludir esta sandbox de Reader. Hacerlo no es sencillo porque es necesario encadenar varias vulnerabilidades. En el pasado, por ejemplo; a la compañía Vupen, eludir la sandbox del navegador Google Chrome le reportó un importante beneficio económico (dentro de la legalidad al enmarcarse dentro de un concurso) que lo consiguió después de 6 semanas de trabajo.

Sin dar detalles, la compañía moscovita Group-IB ha descubierto el fallo en la versión X y XI. Para explotar la vulnerabilidad es necesario abrir un documento PDF especialmente manipulado, y parece estar en relación con los formularios. El problema radica en que en el navegador web se suele permitir abrir PDFs con Adobe y por lo tanto, solo por el hecho de navegar se puede estar abriendo ese documento malformado y quedar infectado. Parece de hecho que ya está incluida en algunas versiones del famoso kit de explotación webpro” Blackhole. Al parecer en pequeños círculos del mercado negro su precio se sitúa entre los 30.000 y los 50.000 dólares. Pero este dato puede ser variable. Los atacantes pueden intentar cazar un PDF que aproveche este problema (como lo ha hecho el Group-IB) lo estudien, deduzcan el exploit y los detalles técnicos. Cuanto menos conocida es la vulnerabilidad, como en este caso, más cara resulta para su comprador. Ahora que se conoce su existencia, es cuestión de días que alguien la descubra, filtre la información, y su precio sea cero.

El navegador web Google Chrome, al implementar medidas de seguridad adicionales como su propia sandbox, no se ve afectado. Esto quiere decir que si se abre un documento PDF desde este navegador web que intenta lanzarse directamente con Adobe X, el usuario podría no verse afectado por la vulnerabilidad.

Si es posible lo más recomendable es utilizar alternativas a Adobe Reader. Este fallo, si bien es especialmente peligroso, es común que Adobe no solo sufra graves vulnerabilidades, sino que las mismas sean aprovechadas masivamente por atacantes. También las alternativas sufren de problemas de seguridad, pero al menos no suelen ser atacadas. Ahora bien si no es posible utilizar alternativas como Foxit Reader FREE, Sumatra PDF, etc, lo mejor es deshabilitar el plugin del navegador web, pues con esto se logra eliminar la posibilidad de que se ejecute JavaScript en los documentos PDF y por supuesto no se abrirán archivos no solicitados.

Según Hispasec Adobe está trabajando para confirmar el fallo.

Fuente: hispasec.com