La mencionada “caja de arena”, funciona generando un entorno de pruebas seguro que engaña al código malicioso obligándolo a revelar sus características nocivas. De esta manera, cuando el Modo Protegido se encuentre activado, las operaciones que se ejecuten dentro del Reader lo harán en un ambiente controlado, sin afectar al ordenador.

Adobe ha logrado desarrollar esta modalidad trabajando en conjunto con compañías experimentadas en el área, como el equipo de seguridad de Microsoft y el de Google Chrome. A pesar de que se trata de un gran paso en lo que respecta a la seguridad de los productos de Adobe, su Director de Seguridad Brad Arkin mantuvo un perfil bajo, alegando que el Reader aun podría seguir siendo víctima de las nuevas técnicas utilizadas por los cibercriminales.

La actualización APSB10-12 repara 18 fallos, algunos de ellos considerados como críticos, en la versión 11.5.6.606, y sus anteriores, de Adobe ShockWave Player. También afecta a las versiones de Microsoft Windows y Apple Mac OS X. Estas vulnerabilidades podrían ocasionar que un ciberdelincuente ejecute un código malicioso en el equipo afectado.

Los fallos se producen debido a desbordamientos de búfer, los cuales a su vez podrían ocasionar un desbordamiento de memoria dinámica (heap).

La actualización APSB 10-11 soluciona tres fallos considerados importantes producidos en Cold Fusion 8.0, 8.0.1, 9.0 y versiones anteriores para Microsoft Windows, Macintosh y UNIX. La explotación de los fallos podría producir que un atacante realizara ataques de cross-site scripting y podría acceder a datos privados.

Adobe recomienda actualizar Adobe ShockWave Player a su última versión disponible, la 11.5.7.609. Así se dispondrá de una mayor seguridad en el equipo y los atacantes no podrán aprovecharse de los fallos solucionados.

Si se dispone de otra versión anterior a la 11.5.7.609 en el equipo, se aconseja desinstalar ésta, reiniciar el ordenador y después, descargar la última versión de ShockWave Player.

Fuente: Inteco Cert

Hasta ahora, ZeuS no tenía este alcance, pero su nueva versión es capaz de esquivar los sistemas más fuertes de autenticación.

La compañía de seguridad Trusteer ha realizado un estudio en el que ha analizado cinco millones de equipos. En él, se revela que uno de cada 3.000 equipos se encuentran afectados por esta versión nueva de troyano.

ZeuS es utilizado por organizaciones criminales cuyo objetivo es conseguir los datos personales y bancarios de los usuarios. Infecta el equipo y se hace con las contraseñas personales, de redes sociales o números de tarjetas de crédito.

A demás de aprovecharse de Firefox, también se ha descubierto que está sirviéndose de un fallo sin solucionar en los archivos PDF. Según Dan Hubbard, CTO de la compañía Websense, cuando el usuario abre el documento malicioso, ZeuS le solicita que guarde un archivo PDF, llamado “Royal_Mail_Delivery_Notice.pdf”, que en realidad es un ejecutable de Windows que se instala y piratea el equipo.

El error que está explotando la botnet es el /Launch, que se trata de una especificación de Adobe para la función de diseño. Websense asegura que tiene constancia de que cientos de ataques provenientes de Zeus utilizan el software malicioso incorporado en la función /Launch. Además, Hubbard estima que “los ataques se seguirán produciendo”.

Adobe por su parte, ha aconsejado a los usuarios que modifiquen las preferencias de Reader y Acrobat para deshabilitar la función vulnerable y proporciona unas recomendaciones para realizar esta modificación.

El ataque fue llevado a cabo recientemente por parte de un investigador mediante la funcionalidad /Launch, como se detalla en la sección 12.6.4.5 de la especificación ISO PDF 32000-1:2008.

Si un atacante explotara este fallo, con un archivo PDF se podría acceder a otro que no estuviera en formato PDF, aparecería un mensaje señalándolo y pidiendo autorización, pero si este mensaje se manipulara, el ataque se podría simplificar usando técnicas de ingeniería social.

Para evitar este problema, se puede desactivar la opción ‘Permitir la apertura de archivos adjuntos no PDF con aplicaciones externas’ accediendo a Adobe Reader. A continuación, se debe entrar en el menú de ‘Edición’ → ‘Preferencias’ y en la parte de opciones, se debe seleccionar la categoría ‘Administrador de confianza’ y desactivar la primera opción.

Fuente: Inteco Cert

Los programas de Adobe son víctimas de numerosos ataques. Reader y Acrobat han llegado tener el 80% de todos los ataques a software, en los que los atacantes han aprovechando los archivos PDF que utilizan tantos usuarios. A continuación, les sigue Adobe Flash, que concentra el 18% de todos los exploits.

Durante el pasado año se encontraron frecuentemente fallos en el editor y lector de ficheros PDF de Reader y Acrobat, lo que ha facilitado el trabajo a los atacantes. A comienzos de año Flash y Reader tenían unas cifras de ataques parecidas, pero a medida que fue avanzando el año Reader y sus archivos PDF tomaron la delantera.

Los archivos PDF maliciosos alcanzaron el 56% de todos los exploits durante el primer trimestre de 2009, y fueron aumentando notablemente, llegando a sumar el 80% en el cuarto trimestre. Flash en cambio, mejoró durante el año, ya que empezó teniendo un 40% de todos los fallos y su porcentaje disminuyó hasta el 18% a finales de año.

Según ScanSafe, estos datos son “un claro indicativo” de que los atacantes se decantan por explotar los archivos PDF. Esto puede deberse a que han coincido el “incremento de la disponibilidad de vulnerabilidades en el software de Adobe” y la gran propagación que tiene el uso de estos programas entre los internautas.

El presidente del Instituto SANS de Tecnología aconseja a las empresas que para una mayor seguridad “deberían evitar a Adobe en la medida de lo posible. La seguridad de esta empresa parece estar fuera de control y utilizar sus productos puede poner a cualquier organización en peligro. Para tratar de minimizar el número de ataques hay que evitar el uso de los productos de Adobe siempre que se pueda”.

Los autores del Informe Anual de Amenazas de 2009, señalan por su parte que “es bien conocido” que los hacker suelen utilizar los archivos y programas que más se utilizan en la red. Según esto, no es de extrañar que exploten los fallos de Adobe, aprovechando su difusión, para llegar al mayor número de usuarios posible.

Adobe intenta corregir sus fallos y mejorar sus productos, el pasado martes publicó sus dos últimas actualizaciones (http://antivirus.es/actualizaciones-para-adobe-reader-y-acrobat-1052) que reparaban dos errores importantes de seguridad.

El fallo más grave, CVE-2010-0186, podría ocasionar peticiones no autorizadas de dominios cruzados. El atacante podría cambiar el comportamiento de la “sandbox”, con lo que se producirían peticiones falsas. El segundo fallo corregido, CVE-2010-0186, es un problema de denegación de servicio.

Las actualizaciones se encuentran disponibles en la página web de Adobe o se puede acceder a ellas a través del boletín publicado. Se recomienda la actualización de los programas para mantener el equipo con una mayor protección y no correr riesgos de ataques de fallos de denegación de servicio solicitudes cruzadas de dominios no permitidas.

Hoy ha publicado la actualización para corregir el fallo que tanta polémica ha suscitado, al haberse utilizado para realizar el ataque chino a 35 empresas estadounidenses, entre ellas Google y Adobe. Además, Microsoft ha reconocido que sabia de la existencia del fallo desde hace cinco meses.

Los fallos cubiertos se podrían utilizar para efectuar un código arbitrario y comprometer completamente el equipo. El parche corrige un total de ocho vulnerabilidades. No todas tienen la misma gravedad ni afectan a todas las versiones del Explorer. La gravedad de los fallos cambia según la versión del navegador y la plataforma Windows de la que se disponga.

Entre los fallos corregidos se encuentran un cross-site scripting y uno de validación de URL’s que podría provocar la efectuación remota de código a través de una URL creada de forma maliciosa.

El fallo más explotado, conocido como ‘Aurora’, es de una naturaleza parecida a la de otras cinco vulnerabilidades, que en muchas ocasiones pueden posibilitar la ejecución remota del código.

Por si no se hubiera suscitado bastante polémica con el ataque chino y el fallo de Internet Explorer, ahora se ha reconocido por la propia de Redmond, que se tenía constancia de esta vulnerabilidad desde el pasado mes de agosto. Al parecer, un investigador de la firma de Israel BugSec, Meron Sellen, reportó la vulnerabilidad en agosto y Microsoft corroboró en septiembre la gravedad de ésta.

Otros fallos, que son corregidos también con este parche, habían sido igualmente comunicados a Microsoft por Zero Day Initiative hace seis meses. Microsoft tenía programado publicar este parche en su ciclo normal de publicación de actualizaciones de febrero, pero ante la gravedad de los ataques se ha visto obligado a publicarla antes.  

Se ha publicado la actualización después de que se encontraran varias vulnerabilidades críticas en la versión 11.5.2.602 y versiones anteriores de ShockWave Player en Microsoft Windows y Apple Mac OS X. Los fallos que se solucionarán son el CVE-2009-4002  y el CVE-2009-4003.

La compañía clasifica los fallos como críticos. Son producidos por un desbordamiento de entero que puede llegar a ocasionar también un desbordamiento de memoria dinámica (heap).

Adobe recomienda que se utilice la actualización lo antes posible para tener mejor protegido el equipo. Los atacantes aprovechan el tiempo que pasa entre que se descubre la vulnerabilidad del programa, la compañía realiza el parche para solucionarlo y los usuarios lo instalan, para infectar los ordenadores de los usuarios.

La actualización puede descargarse en la página de actualizaciones de Adobe ShockWave.