Investigador demuestra ataques vía Adobe Reader
Por Emilio Baby (*)
Un investigador en temas de seguridad afirma que es posible instalar programas maliciosos en un ordenador, por medio de las características comunes y totalmente legítimas del Adobe Reader.
Se trata de David Kierznowski, quien ha publicado varios documentos sobre una nueva tendencia, la utilización de rasgos legítimos de una aplicación, para fines peligrosos.
La semana pasada, investigadores norteamericanos encontraron que los ataques del tipo "cross-site scripting" (permiten eludir las restricciones para ejecutar archivos de comandos en ventanas pertenecientes a diferentes dominios Web), han llegado a ser más predominantes que los que se aprovechan de desbordamientos de búfer, para afectar el código de las aplicaciones locales.
"Backdooring" es la acción de crear una puerta trasera (o backdoor) a un programa o aplicación. "Recientemente, ha habido mucha exageración involucrando el backdooring de varias tecnologías Web," dijo Kierznowski en su estudio. Él afirma que los documentos PDF (Portable Document Format), aparecen como un blanco obvio, debido a que soportan JavaScript, pero encontró que el aprovechamiento de esto no era directo, en parte porque Adobe utiliza su propio modelo de JavaScript.
"Hay bastantes vueltas en esto," ha escrito. Él dice que Adobe Reader y Adobe Professional también tienen diferentes restricciones en cuánto al uso de objetos JavaScript.
Uno de los ataques, agrega un enlace malicioso dentro de un documentos PDF. "Una vez que el documento es abierto, el navegador del usuario es automáticamente activado y el enlace es accedido," escribe Kierznowski. "En este punto es obvio que cualquier código malicioso puede ser lanzado."
El ataque trabaja incluso con versiones totalmente actualizadas de Adobe Reader en Windows o Mac OS X. No afecta a otros lectores PDF, tales como Foxit o Mac OS X's Preview. Los investigadores también notaron que si el documento es abierto desde el escritorio, se muestra una advertencia antes de que se abra el enlace, pero si se abre un documento PDF desde Internet, no hay notificación alguna. "Ni Adobe 6 ni 7, me avisaron antes de abrir esos enlaces," escribió Kierznowski.
El segundo ataque utiliza ADBC (Adobe Database Connectivity) y soporte de servicios web, accediendo a Windows ODBC, enumerando las bases de datos disponibles y finalmente enviando la información al "localhost" (el propio ordenador).
Kierznowsky dice que debido a la naturaleza del ataque (la utilización de características legítimas), es más probable su aprovechamiento allí donde fuera posible usar Adobe Reader para formularios HTML, acceso a archivos del sistema y otras características. "Estoy seguro que con un poco más de creatividad, ambos ataques podrían ponerse juntos", escribió.
El notó que es posible colocar una puerta trasera (backdoor), a todos los archivos de Acrobat, si se carga un JavaScript dentro del directorio de scripts del Acrobat. Adobe dijo no tener planes inmediatos para modificar sus productos, pero agregó que está enterado de la investigación y que se encuentra examinando el tema.
Esta semana, Adobe liberó Acrobat 8, y lo integró a su Creative Suite 2.3 Premium mejorada. La compañía dijo que Acrobat 8 Professional, estará disponible para Windows y Macintosh, con Acrobat 8 Standard para Windows, en noviembre (en inglés, francés, alemán y japonés).
* Fuente:
Researcher demonstates Adobe Reader attack
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9003403
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=673
____
Un investigador en temas de seguridad afirma que es posible instalar programas maliciosos en un ordenador, por medio de las características comunes y totalmente legítimas del Adobe Reader.
Se trata de David Kierznowski, quien ha publicado varios documentos sobre una nueva tendencia, la utilización de rasgos legítimos de una aplicación, para fines peligrosos.
La semana pasada, investigadores norteamericanos encontraron que los ataques del tipo "cross-site scripting" (permiten eludir las restricciones para ejecutar archivos de comandos en ventanas pertenecientes a diferentes dominios Web), han llegado a ser más predominantes que los que se aprovechan de desbordamientos de búfer, para afectar el código de las aplicaciones locales.
"Backdooring" es la acción de crear una puerta trasera (o backdoor) a un programa o aplicación. "Recientemente, ha habido mucha exageración involucrando el backdooring de varias tecnologías Web," dijo Kierznowski en su estudio. Él afirma que los documentos PDF (Portable Document Format), aparecen como un blanco obvio, debido a que soportan JavaScript, pero encontró que el aprovechamiento de esto no era directo, en parte porque Adobe utiliza su propio modelo de JavaScript.
"Hay bastantes vueltas en esto," ha escrito. Él dice que Adobe Reader y Adobe Professional también tienen diferentes restricciones en cuánto al uso de objetos JavaScript.
Uno de los ataques, agrega un enlace malicioso dentro de un documentos PDF. "Una vez que el documento es abierto, el navegador del usuario es automáticamente activado y el enlace es accedido," escribe Kierznowski. "En este punto es obvio que cualquier código malicioso puede ser lanzado."
El ataque trabaja incluso con versiones totalmente actualizadas de Adobe Reader en Windows o Mac OS X. No afecta a otros lectores PDF, tales como Foxit o Mac OS X's Preview. Los investigadores también notaron que si el documento es abierto desde el escritorio, se muestra una advertencia antes de que se abra el enlace, pero si se abre un documento PDF desde Internet, no hay notificación alguna. "Ni Adobe 6 ni 7, me avisaron antes de abrir esos enlaces," escribió Kierznowski.
El segundo ataque utiliza ADBC (Adobe Database Connectivity) y soporte de servicios web, accediendo a Windows ODBC, enumerando las bases de datos disponibles y finalmente enviando la información al "localhost" (el propio ordenador).
Kierznowsky dice que debido a la naturaleza del ataque (la utilización de características legítimas), es más probable su aprovechamiento allí donde fuera posible usar Adobe Reader para formularios HTML, acceso a archivos del sistema y otras características. "Estoy seguro que con un poco más de creatividad, ambos ataques podrían ponerse juntos", escribió.
El notó que es posible colocar una puerta trasera (backdoor), a todos los archivos de Acrobat, si se carga un JavaScript dentro del directorio de scripts del Acrobat. Adobe dijo no tener planes inmediatos para modificar sus productos, pero agregó que está enterado de la investigación y que se encuentra examinando el tema.
Esta semana, Adobe liberó Acrobat 8, y lo integró a su Creative Suite 2.3 Premium mejorada. La compañía dijo que Acrobat 8 Professional, estará disponible para Windows y Macintosh, con Acrobat 8 Standard para Windows, en noviembre (en inglés, francés, alemán y japonés).
* Fuente:
Researcher demonstates Adobe Reader attack
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9003403
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=673
____
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!