Los investigadores de seguridad han descubierto dos vulnerabilidades críticas de seguridad de día cero (zero day) en el software Foxit Reader que podrían permitir a los atacantes ejecutar código arbitrario en un equipo de destino, si no está configurado para abrir archivos PDF en el modo de lectura segura.

La primera vulnerabilidad (CVE-2017-10951) es un error de inyección de comandos descubierto por la investigadora Ariele Caltabiano que trabaja con Zero Day Initiative de Trend Micro (ZDI), mientras que el segundo bug (CVE-2017-10952) es un problema de escritura de archivos encontrado por el Investigador de seguridad Steven Seeley de Offensive Security.

Un atacante puede explotar estos errores enviando un archivo PDF especialmente diseñado a un usuario de Foxit y alentándolos a abrirlo.
Foxit se negó a parchear ambas vulnerabilidades porque no funcionaría con la función de “modo de lectura segura” que afortunadamente viene habilitada de forma predeterminada en Foxit Reader.

“Foxit Reader y PhantomPDF tiene un modo de lectura seguro que está habilitado por defecto para controlar el funcionamiento de JavaScript, que puede proteger eficazmente contra vulnerabilidades potenciales de acciones de JavaScript no autorizadas”, dice la compañía.

Sin embargo, los investigadores creen que la construcción de una mitigación no corrige completamente las vulnerabilidades que, si permanecen sin parches, podrían ser explotadas si los atacantes encuentran una forma de evitar el modo de lectura segura en un futuro próximo.

Ambas vulnerabilidades sin parchear pueden ser desencadenadas a través de la API de JavaScript en Foxit Reader.

CVE-2017-10951: El error de inyección de comandos reside en una función app.launchURL que ejecuta las cadenas proporcionadas por los atacantes en el sistema de destino debido a la falta de validación adecuada, como se demuestra en el video que se muestra a continuación.

CVE-2017-10952: Esta vulnerabilidad existe dentro de la función JavaScript de “saveAs” que permite a los atacantes escribir un archivo arbitrario en un sistema específico en cualquier ubicación específica, como se demuestra en el video que se muestra a continuación.

“Steven explotó esta vulnerabilidad incrustando un archivo HTA en el documento, luego llamando a saveAS para escribirlo en la carpeta de inicio, ejecutando código VBScript arbitrario en el inicio”, lee el aviso publicado por la ZDI.

Si usted es uno de los que utilizan Foxit Reader y PhantomPDF, asegúrese de que tiene activada la función “Modo de lectura segura”(Safe Reading Mode). Además, también puede desmarcar la opción “Activar Acciones de JavaScript”(Enable JavaScript Actions) del menú Preferencias (Preferences) de Foxit, aunque esto puede romper algunas funcionalidades.

Los usuarios también son recomendados siempre de ser vigilantes al abrir cualquier archivo que reciban por correo electrónico. Pues abrir un archivo malicioso adjunto podría comprometer su computadora con malware.

Por lo tanto, siempre tenga cuidado con los correos electrónicos de phishing, spams y no hacer clic en el archivo adjunto malicioso.

Ante la situación que existe de que la compañía Foxit Software Incorporated no resuelva estas dos vulnerabilidades críticas a la mayor brevedad posible, se recomienda a los usuarios de desinstalar Foxit Reader y instalar otro lector de documentos en formato PDF gratuitos como es Nitro PDF Reader ó Sumatra PDF, el cual también está disponible en idioma español.

Fuente: The Hacker News

Anuncios