14/02/2013
Vulnerabilidade 0-day atinge Adobe Reader 11 e versões anteriores
CLIQUE NA IMAGEM PARA AMPLIAR
Pesquisadores da empresa de segurança FireEye afirmam quem crackers estão ativamente utilizando um exploit para execução de código remoto que funciona nas versões do Adobe Reader 9, 10 e 11.
"Hoje identificamos que a PDF 0-day (vulnerabilidade) está sendo explorada na rede, e observamos alguns ataques bem sucedidos nas últimas versões do Reader 9.5.3, 10.1.5 e 11.0.1", disseram os pesquisadores da FireEye na terça-feira (12/2), no blog da empresa.
O exploit entrega e carrega dois arquivos DLL no sistema. Um deles exibe uma mensagem falsa de erro e abre o documento PDF que é utilizado como isca, disseram os pesquisadores da empresa de segurança.
Exploits de execução de código remoto normalmente travam os programas atingidos. Mas, nesse caso, a mensagem falsa de erro e o segundo documento são provavelmente usados para fazer com que os usuários acreditem que o travamento foi resultado de um simples mau funcionamento e o programa se recuperou com sucesso.
Enquanto isso, o segundo arquivo DLL instala um componente malicioso que se conecta com um domínio remoto, disseram os pesquisadores da FireEye.
Ainda não está claro como o exploit do PDF está sendo entregue em primeiro lugar - se por email ou sites - ou quem são os alvos dos ataques. A FireEye não respondeu imediatamente quando procurada para dar informações adicionais sobre o caso.
"Nós já enviamos uma amostra para a equipe de segurança da Adobe", disseram os investigadores FireEye no post do blog. "Antes de obter a confirmação da empresa e de ter um plano de mitigação disponível, sugerimos que o usuário não abra qualquer arquivo PDF desconhecido."
A Equipe de Resposta a Incidentes de Segurança com Produtos da Adobe (PSIRT) confirmou na terça-feira (12/2) em um post no blog da empresa que está investigando o relato de uma vulnerabilidade no Reader e no Acrobat XI (11.0.1) e versões anteriores que estão sendo exploradas na rede. O risco aos consumidores ainda está sob avaliação, disse a empresa.
Protegido, mas nem tanto
Sandboxing é uma técnica antiexploração que isola operações sigilosas de um programa em um ambiente estritamente controlado, a fim de prevenir que atacantes escrevam e executem códigos no sistema subjacente - mesmo depois de explorar uma vulnerabilidade que permite execução de código remoto no tradicional código do programa.
Uma exploração bem sucedida contra um programa com sandbox levaria a múltiplas vulnerabilidades, incluindo uma que permite ao exploit escapar da técnica de segurança.
Tais vulnerabilidades de contorno da sandbox são raras, porque o código que implementa o método de segurança geralmente é revisado cuidadosamente e é relativamente pequeno em comparação com o comprimento do código-base geral do programa, que pode conter vulnerabilidades.
A Adobe acrescentou o mecanismo para isolar as operações do modo protegido (Protected Mode) do Adobe Reader 10. A sandbox foi ampliada para cobrir operações somente de leitura, bem como no Adobe Reader 11, por meio de um segundo mecanismo chamado de Exibição Protegida.
Real Perigo
Em novembro, pesquisadores de segurança do empresa russa Group-IB informaram que um kit de exploração para o Adobe Reader 10 e 11 estava sendo vendido em fóruns cibercriminosos por 30 mil e 50 mil dólares. A existência do exploit não foi confirmada pela Adobe na época.
"Antes da introdução da sandbox, o Reader foi um dos aplicativos mais visados por cibercriminosos", disse o analista sênior de ameaças online da empresa de antivírus BitDefender, Bogdan Botezatu, nesta quarta-feira por e-mail. "Se confirmada, a descoberta de um buraco no mecanismo de defesa será de importância crucial e será maciçamente explorada por cibercriminosos, definitivamente."
Botezatu acredita que passar pelo mecanismo de defesa é uma tarefa difícil, mas ele espera que isso aconteça em algum momento. Afinal, o grande número de instalações do Reader torna o produto um alvo atraente para cibercriminosos. "Não importa o quanto as empresas investem em testes, elas ainda não podem garantir que suas aplicações estão livre de bugs, quando implantadas em máquinas de produção", disse ele.
Infelizmente usuários do Adobe Reader não tem muitas opções para se protegerem caso essa vulnerabilidade realmente exista, exceto serem extremamente cuidadosos com os arquivos e links que abrirem, disse Botezatu. Os usuários devem atualizar suas instalações tão logo uma correção esteja disponível, acrescentou.
|
|
