La mencionada “caja de arena”, funciona generando un entorno de pruebas seguro que engaña al código malicioso obligándolo a revelar sus características nocivas. De esta manera, cuando el Modo Protegido se encuentre activado, las operaciones que se ejecuten dentro del Reader lo harán en un ambiente controlado, sin afectar al ordenador.

Adobe ha logrado desarrollar esta modalidad trabajando en conjunto con compañías experimentadas en el área, como el equipo de seguridad de Microsoft y el de Google Chrome. A pesar de que se trata de un gran paso en lo que respecta a la seguridad de los productos de Adobe, su Director de Seguridad Brad Arkin mantuvo un perfil bajo, alegando que el Reader aun podría seguir siendo víctima de las nuevas técnicas utilizadas por los cibercriminales.

Los fallos que corrige el boletín de seguridad son los siguientes:

CVE-2010-0190: Corrige un error producido en la ejecución de comandos en sitios cruzados (XSS).

CVE-2010-0191: Repara un fallo que afecta al manejador (handler) del protocolo del prefijo.

CVE-2010-0192, CVE-2010-0193 y CVE-2010-0196: Las tres actualizaciones corrigen un fallo de denegación de servicio (DoS).

CVE-2010-0194, CVE-2010-0197, CVE-2010-201y CVE-2010-204: Cada parche repara un error de corrupción de memoria.

CVE-2010-0195: Fallo producido en el manipulación de las fuentes.

CVE-2010-0198, CVE-2010-0199, CVE-2010-0202 y CVE-2010-0203: Corrigen fallos desbordamiento de búfer.

CVE-2010-1241: Error de desbordamiento de montículo (heap overflow).

Los fallos corregidos podrían ocasionar ataques de peticiones de dominio cruzados, la caída de la aplicación afectada o la ejecución remota de código, con lo que el atacante tomaría el control del equipo y ejecutar en él los programas que quiera.

Es recomendable actualizar los programas a esta última versión, la 9.3.2. Para ello, si dispone de Reader se debe acceder a la opción de ‘Ayuda’ y pinchar en ‘Buscar actualizaciones’.

En caso de que se quiera instalar la actualización manualmente, se debe ir a la página de descarga y a través de ella descargar el programa que corresponda al sistema operativo del que se disponga:

Descarga para Windows: Acrobat y Reader

Descarga para Macintosh: Acrobat y Reader

Descarga para Unix: Reader

La publicación de este boletín coincide con la de una nueva funcionalidad de actualización automática de Reader y Acrobat, con la que Adobe buscará automáticamente las actualizaciones disponibles y las instalará en el equipo sin que el usuario tenga realizar ninguna acción. Esta nueva función se puede activar después de actualizar a la versión 9.3.2 accediendo al menú Edición → Preferencias → Actualizador y en esta pestaña se debe marcar la opción ‘Descargar automáticamente las actualizaciones, pero permitir al usuario elegir el momento de su instalación’.

Fuente: Inteco Cert

El ataque fue llevado a cabo recientemente por parte de un investigador mediante la funcionalidad /Launch, como se detalla en la sección 12.6.4.5 de la especificación ISO PDF 32000-1:2008.

Si un atacante explotara este fallo, con un archivo PDF se podría acceder a otro que no estuviera en formato PDF, aparecería un mensaje señalándolo y pidiendo autorización, pero si este mensaje se manipulara, el ataque se podría simplificar usando técnicas de ingeniería social.

Para evitar este problema, se puede desactivar la opción ‘Permitir la apertura de archivos adjuntos no PDF con aplicaciones externas’ accediendo a Adobe Reader. A continuación, se debe entrar en el menú de ‘Edición’ → ‘Preferencias’ y en la parte de opciones, se debe seleccionar la categoría ‘Administrador de confianza’ y desactivar la primera opción.

Fuente: Inteco Cert

En caso de que se haya instalado Adobe Reader para Windows a través de la página de descarga del programa, o Adobe Flash Payer mediante su página de descarga de Adobe Flash Payer, antes del día 23 de este mes de febrero, es posible que su equipo sea vulnerable al ataque que podría producir este fallo. Para comprobar esto, hay que acceder al directorio C:\Archivos de Programa\NOS. Si éste existe, el equipo es vulnerable.

En este caso, habría que borrar el servicio, desinstalar el programa y eliminar el directorio. Para ello hay que realizar las siguientes indicaciones:

1. Hay que disponer del servicio getPlus(R) Helper. Hay que Inicio à y escribir “services.msc” y pulsar en Intro. Se entra en la ventana de servicios y si esta el servicio getPlus(R) Helper hay que borrarlo.
2. A continuación se debe desinstalar Adobe Download Manager mediante el Panel de Control. Utilizando la opción Añadir/Eliminar Programas.
3. Finalmente, hay que borrar por completo el directorio C:\Archivos de Programa\NOS.

Es recomendable mantener siempre los programas de su equipo actualizados para correr el menor riesgo posible antes las distintas amenazas.

Fuente: Inteco-Cert

Los programas de Adobe son víctimas de numerosos ataques. Reader y Acrobat han llegado tener el 80% de todos los ataques a software, en los que los atacantes han aprovechando los archivos PDF que utilizan tantos usuarios. A continuación, les sigue Adobe Flash, que concentra el 18% de todos los exploits.

Durante el pasado año se encontraron frecuentemente fallos en el editor y lector de ficheros PDF de Reader y Acrobat, lo que ha facilitado el trabajo a los atacantes. A comienzos de año Flash y Reader tenían unas cifras de ataques parecidas, pero a medida que fue avanzando el año Reader y sus archivos PDF tomaron la delantera.

Los archivos PDF maliciosos alcanzaron el 56% de todos los exploits durante el primer trimestre de 2009, y fueron aumentando notablemente, llegando a sumar el 80% en el cuarto trimestre. Flash en cambio, mejoró durante el año, ya que empezó teniendo un 40% de todos los fallos y su porcentaje disminuyó hasta el 18% a finales de año.

Según ScanSafe, estos datos son “un claro indicativo” de que los atacantes se decantan por explotar los archivos PDF. Esto puede deberse a que han coincido el “incremento de la disponibilidad de vulnerabilidades en el software de Adobe” y la gran propagación que tiene el uso de estos programas entre los internautas.

El presidente del Instituto SANS de Tecnología aconseja a las empresas que para una mayor seguridad “deberían evitar a Adobe en la medida de lo posible. La seguridad de esta empresa parece estar fuera de control y utilizar sus productos puede poner a cualquier organización en peligro. Para tratar de minimizar el número de ataques hay que evitar el uso de los productos de Adobe siempre que se pueda”.

Los autores del Informe Anual de Amenazas de 2009, señalan por su parte que “es bien conocido” que los hacker suelen utilizar los archivos y programas que más se utilizan en la red. Según esto, no es de extrañar que exploten los fallos de Adobe, aprovechando su difusión, para llegar al mayor número de usuarios posible.

Adobe intenta corregir sus fallos y mejorar sus productos, el pasado martes publicó sus dos últimas actualizaciones (http://antivirus.es/actualizaciones-para-adobe-reader-y-acrobat-1052) que reparaban dos errores importantes de seguridad.

CVE-2010-0186: fallo a través del cual se podría sobrepasar el entorno de protección del dominio. Lo que provocaría ataques de peticiones de dominio cruzados.

CVE-2010-0188: error que puede ocasionar que la aplicación se cierre y se pudiera obtener el control del sistema dañado.

Para instalar las actualizaciones hay dos opciones:

Si se dispone de Reader se puede entrar en ‘Ayuda’ y elegir la opción de ‘Buscar actualizaciones’.

Si la instalación se quiere realizar de forma manual, hay que acceder a la página de descarga e instalar el programa según el sistema operativo del que se disponga, Windows, Macintosh o Unix.

Descarga para Windows: Acrobat y Reader

Descarga para Macintosh: Acrobat y Reader

Descarga para Unix: Acrobat y Reader

Es conveniente mantener el equipo y sus programas actualizados para disponer de una mayor seguridad.

Fuente: Inteco-Cert

Este fallo está siendo usado por lo atacantes para infectar equipos con virus como el Pidief.H. Se trata de un troyano que entra en el equipo a través de un correo electónico que contiene un archivo PDF malicioso que al abrirlo aprovecha la vulnerabilidad del programa para entrar en el ordenador.

La vulnerabilidad se encuentra en el sistema newPlayer 0 del elemento Doc.media .

Adobe, por su parte, ha informado de que facilitará una actualización de seguridad para solucionar el problema el próximo 12 de enero. 

En segundo lugar, se encuentran programas de Microsoft como Internet Explorer, que se mantiene n la línea del año pasado con 30 brechas de seguridad, o el Office, que aunque se mantiene en la lista de los más inseguros, ha bajado sus vulnerabilidades de 44 que obtuvo en el año anterior a 41 en este.

A continuación, se encuentre Firefox, que ha aumentado su uso en el mercado en un 25% pero también ha aumentado su inseguridad en cuanto a 2008. Se consideraba más seguro que Internet Explorer, pero lo cierto es que se han encontrado más vulnerabilidades, hasta 102 bugs, respecto a las 90 del pasado año.

El cuarto puesto es para Adobe Flash, aunque en esta ocasión se ha encontrado menos brechas de seguridad. Se han localizado 11, frente a las 14 de 2008.

En quinto lugar, se encuentra el programa de Apple, Quicktime, con 26 bugs, lo que supone que su seguridad ha mejorado si se compara con los 36 localizados el año anterior. En su equivalente de Microsoft, Windows Media Player, se encontraron solo 3 bugs.

Para cerrar la lista tenemos a Windows, considerado uno de los objetivos principales de los ciberdelincuentes al ser el sistema de más alcance mundial, con el que los atacantes podrían infectar a millones de usuarios.

Al conocer la situación, los responsables de Adobe han declarado en el blog de su equipo PSIRT, Product Security Incident Response Team que “Adobe ha recibido diferentes informes sobre una vulnerabilidad en Adobe Reader y Acrobat 9.2, así como en versiones anteriores y que estaba siendo explotada” añadiendo que la compañía esta “investigando el tema y calculando el riesgo que supone para nuestros clientes”.

En principio, la empresa disponía de pocos datos, pero aseguraba que “Tan pronto como tengamos detalles adicionales, actualizaremos nuestro blog informando sobre el tema”.

El director de seguridad y privacidad de productos de Adobe, Brad Arkin, declaró que la empresa conoció el ataque el pasado lunes, cuando afirmo que “los diferentes socios de la comunidad de seguridad han compartido muestras con nosotros del mismo ataque en un intervalo de pocos minutos entre unos y otros esta misma tarde”.

Según el conjunto de voluntarios de seguimiento de malware Shadowserver, los atacantes utilizaron este fallo para mandar archivos PDF malignos a los usuarios.

El fallo parece que se podría deber a la forma en que Reader procesa el código JavaScript. Este tipo de ataque basado en procesar códigos maliciosos JavaScript en Reader ha sido uno de los métodos más utilizados este año por los atacantes.

Aunque la amenaza no se ha propagado en gran medida, se espera que lo haga en las próximas semanas. Shadowserver ha informado de que la mayor parte de los antivirus no descubren el ataque. Para los usuarios preocupados ha aconsejado que deshabiliten JavaScript en el software de Adobe como una forma de eludir el problema.

El estudio sobre los errores del programa ha sido realizado por el grupo de seguridad Verisign, iDefense, para la revista Forbes. La revista consultó a especialistas de seguridad en la red, pertenecientes a empresas como iDefense, TippingPoint y Qualys, sobre cuales eran los programas más utilizados por los ciberdelincuentes para atacar los equipos. Todos los expertos coincidieron en que uno de los programas era Adobe Reader. El jefe de tecnología de Qualys indicó que el programa “es un foco de ataque muy importante a día de hoy, como diez veces más que Microsoft Office”.

Según Pedram Amino, el experto de TippingPoint, Adobe Reader “Es un gran campo de juego listo para su explotación”. El programa cumple con los requisitos apetecibles para un hacker. Tiene un buen número de grietas de seguridad, su código base es muy complicado, casi todos los usuarios de ordenadores lo tienen instalado y cuanta con un acceso al equipo que proporciona a los atacantes una gran vía de acceso.

Por su parte, Adobe admite que está en una encrucijada. En mayo la compañía estableció un ritmo mayor de parches de seguridad para paliar los errores de su programa.  Kevin Lynch, el jefe de tecnología de la compañía, declaró que Adobe había modernizado su equipamiento de seguridad interna para centrarse en realizar el programa de forma que sea más seguro. Lynch señaló que “El debate consistió en si deberíamos hacer un alto en el camino en lo que a desarrollo de producto se refiere y centrarnos en reparar fallos de seguridad”.