Ya circulan PDFs manipulados que explotan falla recientemente reparada

Apenas tres días después que Adobe publicara un parche para arreglar una vulnerabilidad crítica de Adobe Reader, los atacantes están utilizando archivos PDF cazabobos contra usuarios de Windows explotando la vulnerabilidad.

[VEA: Cuidado: Emparche su Adobe Reader ahora]

Los ataques liberados, señalados por primera vez por el SANS Internet Storm Center, vinieron a continuación de que se liberara una prueba de concepto en Milw0rm.com y subraya la importancia de emparchar rápidamente las aplicaciones de escritorio de terceras partes.

He visto un ejemplar de uno de los archivos PDF "arreglados" que está circulando y puedo confirmar que está explotando la vulnerabilidad CVE-2008-2992, la cual es un desbordamiento de bufer en el Adobe Acrobat y Reader version 8.1.2 y anteriores. Esta le permite a los atacantes remotos poder ejecutar código arbitrario mediante un archivo PDF que llama a la función JavaScript util.printf con una cadena de formato "arreglada" como argumento.

Del alerta del SANS ISC:

La carga está en un objeto JavaScript incrustado en el documento PDF. Una vez estraida, ya contiene un primer nivel de ofuscación con una simple llamada eval(unescape()).

Una vez des-ofuscado, son visibles partes de la prueba de concepto que se hicieron publicas, pero los atacantes tambien modificaron ciertas partes.

Adobe Reader es una de las piezas de software más ampliamente distribuidas en el ecosistema de Windows, por lo cual la aplicación de este parches debe ser de prioridad absoluta.

Las actualizaciones están disponibles en:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4084 (Windows),
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4093 (Mac),
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4094 (Linux/Solaris).

Traducido para el Blog de Segu-Info por Raúl Batista
Autor: Ryan Naraine
Fuente: http://blogs.zdnet.com/security/?p=2142&tag=nl.e589

Suscríbete a nuestro Boletín