Análisis del exploit PDF/CVE-2010-0188
En el ultimo tiempo hemos recibido en el Laboratorio de Análisis e Investigación de ESET Latinoamérica diversas muestras de malware que simulan ser archivos legítimos de diversos formatos como PDF,DOC odocumentos HTML. Estos no son los únicos documentos afectados pero si los mas comunes, por tratarse de documentos altamente usados y estandarizados. La forma que ejecutan códigos maliciosos pueden ser muy variadas, pero por lo general hacen uso de algún exploit para lograr corromper la memoria, y así forzar la ejecución de código malintencionado.
En las siguientes lineas analizaremos una muestra de PDF/CVE-2010-0188. La vulnerabilidad anteriormente mencionada es relativamente antigua, concretamente data de febrero de 2010.
La única razón por la que esta muestra se sigue difundiendo es porque está dirigida a usuarios de Adobe Reader, sin duda alguna el lector de archivos PDF más difundido. Es relativamente común encontrarse con versiones viejas de este lector, pero las versiones que nos competen en el día de hoy, están comprendidas entre la versión 8.0 a la versión 9.3. Estas versiones poseen un bug que dispara la ejecución de código arbitrario al tener incrustada una imagen TIFF especialmente manipulada.
En esta primera etapa, trataremos de desglosar los diferentes fases que contempla el reto de análisis para comprender el accionar del código malicioso y, en un futuro post, detallaremos cómo se explota la vulnerabilidad. Entonces, ¿cómo se realiza el análisis?
Contenido completo en fuente original ESET Latinoamérica I y II
En las siguientes lineas analizaremos una muestra de PDF/CVE-2010-0188. La vulnerabilidad anteriormente mencionada es relativamente antigua, concretamente data de febrero de 2010.
La única razón por la que esta muestra se sigue difundiendo es porque está dirigida a usuarios de Adobe Reader, sin duda alguna el lector de archivos PDF más difundido. Es relativamente común encontrarse con versiones viejas de este lector, pero las versiones que nos competen en el día de hoy, están comprendidas entre la versión 8.0 a la versión 9.3. Estas versiones poseen un bug que dispara la ejecución de código arbitrario al tener incrustada una imagen TIFF especialmente manipulada.
En esta primera etapa, trataremos de desglosar los diferentes fases que contempla el reto de análisis para comprender el accionar del código malicioso y, en un futuro post, detallaremos cómo se explota la vulnerabilidad. Entonces, ¿cómo se realiza el análisis?
Contenido completo en fuente original ESET Latinoamérica I y II
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!