En este caso hablaremos de una vulnerabilidad crítica encontrada en dos de los productos principales de la empresa Adobe: Adobe Reader y Adobe Acrobat que puede causar el cierre inesperado del programa o hacer que el atacante adquiera control total por sobre el sistema. Las versiones y sistemas afectados son los siguientes:

• Adobe Reader X (10.1.1) y sus predecesoras para Windows y Mac
• Adobe Reader 9.4.6 y las versiones anteriores para UNIX, Windows y Mac
• Adobe Acrobat X (10.1.1) y sus predecesoras para Windows y Mac
• Adobe Acrobat 9.4.6 y sus versiones anteriores para Windows y Mac

La fecha de lanzamiento de las actualizaciones que contienen la solución definitiva ante esta vulnerabilidad serán distintas según el sistema operativo. Para los equipos con sistemas Windows está previsto el lanzamiento de la actualización de las versiones 9.x aproximadamente para la semana del 12/12/11. Las demás actualizaciones para las otras versiones y sistemas operativos serán lanzadas aproximadamente el 10 y 12 de Enero del próximo año, debido a que poseen una funcionalidad para protegerse de esta vulnerabilidad.

Esta funcionalidad no es conocida por todos, y así lo hagan, es indispensable que verifiquen que se encuentra activa para así poder evitar cualquier amenaza que utilice esta vulnerabilidad. Para esto pueden dirigirse a Edición, luego a Preferencias, seleccionar la categoría General y seleccionar la opción Activar modo protegido al iniciar.

Fuente: ESET Latinoamárica

Esta nueva vulnerabilidad ha sido descubierta por un estudiante de la Universidad de Stanford, Feross Aboukhadijeh, que dio la voz de alarma a través de su propio blog y publicó un vídeo para demostrar la existencia del fallo.

Para llevar a cabo este ataque se utiliza la técnica conocida como “clickjacking”, que se ha hecho popular en redes sociales como Facebook y consiste básicamente en engañar a los usuarios escondiendo código malicioso en zonas de las páginas que son aparentemente inofensivas como el botón “me gusta” de Facebook.

En este caso concreto, el código estaba camuflado en una serie de botones de un juego de manera que cuando la víctima seleccionase dichos botones se activara su webcam o su micrófono sin que fuera consciente.

La compañía ha reconocido la existencia de este problema de seguridad, aunque han aclarado que el fallo se encuentra en Flash Player Settings Manager de los servidores de Adobe y no en el software ni en los ordenadores de los usuarios.

En este sentido, afirman que ya han encontrado el origen de la vulnerabilidad y que han logrado solucionarlo. “Hemos resuelto el problema con un cambio en el Flash Player Settings Manager SWF alojado en el sitio web de Adobe”, afirman desde la compañía, “no se requiere ninguna acción del usuario o la actualización de Flash”.

Fuente:

http://www.theinquirer.es/2011/10/21/un-fallo-en-adobe-flash-permite-activar-de-forma-remota-la-webcam.html

Las problemas solucionados son de diversa índole y afectan a diferentes módulos de los productos vulnerables. Problemas en el tratamiento de punteros, de desbordamiento de búfer, desbordamiento de enteros, inyección de código script o en la carga de dlls se traducen en múltiples fallos que podrían permitir la ejecución remota de código arbitrario.

Las vulnerabilidades se han confirmado en Adobe Reader 9.2 y Acrobat 9.2 para Windows, Macintosh y UNIX, y Adobe Reader 8.1.7 y Acrobat 8.1.7 para Windows y Macintosh.

Dada la gravedad de los problemas, se recomienda la actualización de Adobe Reader y Acrobat desde:

http://www.adobe.com/support/security/bulletins/apsb10-02.html

Más Información:

Security updates available for Adobe Reader and Acrobat

http://www.adobe.com/support/security/bulletins/apsb10-02.html

Antonio Ropero
antonior@hispasec.com

El primero de los problemas permitiría a un atacante remoto enviar datos específicamente manipulados para consumir todos los recursos del sistema atacado. La segunda vulnerabilidad permitiría a un atacante remoto subir al servidor atacado DLLs arbitrarias, las cuales podrían ser posteriormente ejecutadas.

Adobe ha publicado la versión 3.5.3 que corrige estos problemas disponible desde:

http://www.adobe.com/support/flashmediaserver/downloads_updaters.html

Más Información:

Security update available for Flash Media Server

http://www.adobe.com/support/security/bulletins/apsb09-18.html

Antonio Ropero
antonior@hispasec.com

Versiones Afectadas

Se ven afectadas por esta vulnerabilidad:

• Adobe Flash Player 9.x (todas las versiones hasta la 9.0.159.0 incluida)
• Adobe Flash Player 10.x (todas las versiones hasta la 10.0.22.87 incluida)
• Productos Adobe que brinden soporte Flash, como por ejemplo: Reader 9, Acrobat 9, Photoshop CS3, Photoshop Lightroom, Freehand MX y Fireworks, entre otros.

Nota: Esta vulnerabilidad afecta a los siguientes sistemas operativos: Windows, Unix / Linux, Sun OS y Mac OS.

Detalle

Existe una vulnerabilidad en el reproductor de Adobe Flash. La misma puede ser aprovechada de dos formas diferentes:

• Cuando el usuario abre un archivo de Adobe Flash especialmente elaborado.
• Cuando el usuario abre un archivo de algún producto de Adobe, el cual posee incrustado un archivo Adobe Flash malicioso. El problema existe en la librería “authplay.dll” que es la encargada de gestionar la reproducción de contenidos Adobe Flash dentro de documentos de otros productos de Adobe.

Impacto

El impacto de esta vulnerabilidad es ALTAMENTE CRÍTICO.

Recomendaciones

Si bien a la fecha no existe una actualización que solucione el problema, para mitigar el impacto de esta vulnerabilidad se recomienda:

• Activar UAC (User Access Control) o DEP (Data Execution Prevention) en Windows.
• No ingresar a sitios que no sean de confianza.
• Deshabilitar el reproductor Flash en los productos de Adobe.
• Renombrar o borrar el archivo “authplay.dll” que se encuentra en los directorios de instalación de Reader o Acrobat en sistemas Windows.

Adicionalmente, el proveedor ha anunciado que espera disponer de una actualización para el próximo 31 de Julio.

Referencias
Más información sobre esta alerta:

Hispasec:

http://www.hispasec.com/unaaldia/3925

http://www.hispasec.com/unaaldia/3926

Adobe:

http://blogs.adobe.com/psirt/2009/07/update_on_adobe_reader_acrobat.html

Us-CERT:

http://www.kb.cert.org/vuls/id/259425

Secunia:

http://secunia.com/advisories/35948

Symantec:

http://www.symantec.com/connect/blogs/next-generation-flash-vulnerability

Fuente: ArCert

Symantec y Shadowserver dieron la voz de alarma a mediados de febrero: una nueva vulnerabilidad de Acrobat estaba siendo aprovechada para instalar malware. Poco después Adobe publica una nota oficial en la que reconoce el fallo, pero afirma que lo solucionará el 11 de marzo e incluso más tarde para las ramas más veteranas del producto. No publica más información, ni contramedidas, ni consejos, ni alcance… nada.

Se creía que se trataba de un ataque dirigido, minoritario, hasta que un par de días después, se hace público un exploit capaz de aprovechar el fallo. Ahora, más que nunca, es de dominio público y Adobe deja desprotegidos a sus usuarios ante una amenaza más que palpable. SourceFire (dueños del IDS snort) ha tenido mucho que ver en esto. Publicaron el día 20 los detalles de la vulnerabilidad y fue cuestión de tiempo que apareciera un exploit. SourceFire se justifica diciendo: “la vulnerabilidad está siendo aprovechada desde principios de enero. Preferimos que la gente esté protegida”.

Mientras, SourceFire publica un parche no oficial para solucionar el problema. Tal y como ha ocurrido en otras ocasiones con Microsoft, investigadores privados se adelantan y son capaces de mitigar el problema en cuestión de días. Bien es cierto que estos parches no tienen ningún tipo de garantía, y que no han superado las pruebas de calidad y compatibilidad a las que los suelen someter las empresas oficiales. Hasta ahora, los parches no oficiales habían sido, casi en exclusiva, algo de Windows y Microsoft, cuando se le acusaba de no solucionar a tiempo graves problemas de seguridad.

Brian Krebs preguntó al director de seguridad de Adobe por qué no habían incluido información en su alerta para mitigar el problema, como por ejemplo, recomendar el deshabilitar JavaScript. La respuesta fue que deshabilitar JavaScript no atacaba la raíz del problema. Poco después la alerta oficial fue actualizada para incluir la recomendación. Adobe además, ha publicado esta semana un parche para Flash Player que soluciona un grave problema de ejecución de código.

Adobe se ha visto envuelta en un episodio del que normalmente no es protagonista, un incidente al que nos tenía (y a veces, nos tiene) más acostumbrado Microsoft. Y quizás debería aprender de quien ha recibido incontables reveses al respecto. No es la primera vez que Adobe no reacciona convenientemente antes un grave fallo de seguridad. Aunque es un software tremendamente popular, parece no tener experiencia a la hora de ofrecer unos boletines de seguridad completos, fiables, puntuales y con información útil sobre las vulnerabilidades. Esa información es muy necesaria para que un administrador de una gran empresa que gestione cientos de máquinas pueda lidiar con el problema hasta que se publique una solución.

Microsoft, con más de 15 años siendo el centro de atención del malware, ha superado a marchas forzadas ciertos aspectos, ofreciendo normalmente información detallada sobre las vulnerabilidades, contramedidas más o menos eficaces, etc. Dispone de un equipo de respuesta a incidentes que aunque no es perfecto, cumple holgadamente su función. Una de las máximas de muchas compañías es no invertir en soluciones para problemas que no existen. Cuando el problema se presenta de repente (aunque no es el caso, venimos anunciando que Adobe es carne de malware desde hace tiempo), entonces las reacciones no son las deseadas.

En el hipotético caso de que Microsoft pierda protagonismo y otros programas se conviertan en menor medida en centro de atención del malware, cuando los atacantes fragmenten y diversifiquen sus objetivos… ¿estarán preparados para encajar este golpe el resto de “candidatos”?

Más Información:

Homebrew patch for Adobe AcroReader 9

http://vrt-sourcefire.blogspot.com/2009/02/homebrew-patch-for-adobe-acroreader-9.html

20/02/2009 Adobe solucionará dentro de tres semanas una vulnerabilidad
en Acrobat (Reader) que está siendo ya aprovechada por atacantes

http://www.hispasec.com/unaaldia/3772/adobe-solucionara-dentro-tres-semanas-una-vulnerabilidad

25/02/2009 Actualización por vulnerabilidades de ejecución de código en
Adobe Flash Player

http://www.hispasec.com/unaaldia/3777/actualizacion-por-vulnerabilidades-ejecucion-codigo

Adobe Urges Stopgap Changes To Blunt Cyber Threat

http://voices.washingtonpost.com/securityfix/2009/02/adobe_urges_stopgap_changes_to.html

Sergio de los Santos
ssantos@hispasec.com

“PDF Xploit Pack” parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.

Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento.

El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como “downloader” en febrero de este mismo año, y el ataque resultó bastante “popular”. Instalaba el troyano Zonebac.

Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados.

¿Qué hacer?

Aunque el US CERT haya lanzado una alerta, no es necesario modificar los hábitos saludables de navegación. Los lectores de una al día ya saben que no sólo los ejecutables, sino que ningún formato de archivo es confiable hoy en día. El problema está en los lectores que interpretan ese archivo, no en el formato, y todos los lectores (como cualquier programa) pueden contener fallos.

También hay que tener en cuenta que la noticia original (de donde se basa la alerta de US CERT) está lanzada desde una empresa que vende productos para precisamente protegerse de estos problemas, con lo que quizás el paquete no se esté difundiendo especialmente “in the wild” en estos momentos. En cualquier caso esto no le resta importancia ni los desacredita en absoluto. Hace tiempo que los atacantes buscan nuevas formas de engañar a los filtros automáticos y a los usuarios. Con formatos históricamente confiables es más sencillo ejecutar código en sus sistemas. Por tanto, la existencia de un pack que permite de forma cómoda explotar y crear una botnet a través de fallos en el lector PDF, resulta atractiva para la industria del malware. Los usuarios, que no suelen parchear su versión de Windows y mucho menos el resto de programas (como Adobe Reader) hacen el resto poniéndoselo muy fácil.

Por último, recalcar que los exploits están enfocados hacia Adobe PDF Reader porque es el más popular. Actualizar a la última versión del producto o usar programas menos conocidos como Foxit PDF Reader, puede proteger también en cierta medida a los usuarios.

Más Información:

25/10/2007 Archivos PDF aprovechan un fallo en Adobe Reader para
infectar sistemas

http://www.hispasec.com/unaaldia/3288

11/02/2008 Una vulnerabilidad en Adobe Reader está siendo aprovechada
para instalar malware

http://www.hispasec.com/unaaldia/3397

Adobe PDF Exploit Toolkits Circulating

http://www.us-cert.gov/current/index.html#adobe_pdf_exploit_toolkits_circulating

Rise Of The PDF Exploits

http://www.trustedsource.org/blog/153/Rise-Of-The-PDF-Exploits

Sergio de los Santos
ssantos@hispasec.com

El problema deja expuesto el contenido de vídeos online a una incipiente piratería. Según el experto en seguridad Bruce Scheiner, jefe de seguridad de British Telecom: “Es un fallo fundamental en el diseño de Adobe. Fue diseñado de manera estúpida“.

Adobe, en aras de acelerar la velocidad de descargar ha dejado atrás muchas y necesarias medidas de seguridad, por ejemplo, el software no cifra en contenido online, sólo ordena mandar a un reproductor concreto las órdenes de empezar el streaming y play/stop.

Ello implica que por ejemplo, con software que captura la caché de vídeos flash, junto con la página de Amazon, que permite previsualizar los 2 primeros minutos de cualquiera de sus 40.000 vídeos hospedados tras lo cual la reproducción se para hasta que pagues el precio estipulado, pero no así el streaming del mismo que sigue cargando en tu ordenador, lo que permite ser capturado y obtener por tanto gratuitamente el contenido completo del vídeo elegido.

Enlaces relacionados:

http://www.reuters.com/article/technologyNews/idUSTRE48P86U20080926?sp=true

Fuente:

http://www.theinquirer.es/2008/09/27/agujero-de-seguridad-en-flash-permite-la-descarga-gratuita-de-peliculas.html

Según se admite en una nota publicada por el Equipo de Respuesta ante Incidentes de Seguridad en Productos de Adobe (Adobe Product Security Incident Response Team) el problema está causado por una funcionalidad en Flash Player que podría ser aprovechada por un atacante remoto para “secuestrar” el portapapeles del sistema, forzando a que devuelva siempre una misma cadena.

El problema se debe a que por medio de la función “setClipboard” de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. La descripción se puede leer en la documentación de Adobe Flash citada a continuación: “El método System.setClipboard() permite a un archivo SWF reemplazar el contenido del portapapeles con una cadena de caracteres en texto claro. Esto no supone un riesgo de seguridad. Para proteger contra los riesgos que supone que contraseñas y otra información sensible sea cortada o copiada de los portapapeles, el método “getClipboard” de lectura desde el portapapeles no existe”.

Si se crea un archivo SWF modificado que invoque a esta función repetidamente en bucle, cada cierto tiempo se actualizará el contenido del portapapeles para forzar que contenga la cadena elegida. Independientemente de la aplicación con la que se trabaje, siempre que se intente copiar y pegar algún dato, dará como resultado la misma cadena una y otra vez mientras el flash esté activo en una web que está siendo visitada.

El ataque (más molesto que peligroso) se está usando para secuestrar el portapapeles, pegando una URL que lleva a una página de un falso antivirus que resulta ser malware. En el caso concreto detectado en los últimos días, el código ActionScript malicioso venía incrustado en anuncios flash alojados en sitios legítimos que tienen un gran tráfico de visitas diarias, como Newsweek, Digg y MSNBC.

Este fallo no es realmente grave. Desde hace muchos años revive de vez en cuando la polémica (es una funcionalidad vs. es una vulnerabilidad) con respecto a un problema mucho más serio: El acceso al portapapeles por parte de funciones de Internet Explorer. Aunque este ataque flash en concreto es independiente del navegador, aun hoy día la configuración por defecto de la mayoría de sistemas con Internet Explorer 6 permite de forma transparente no solo modificar sino tener acceso al portapapeles. El objeto clipboardData (incorporado en la versión 5 de Internet Explorer) admite tres métodos para interactuar con los datos del clipboard, “getData” para capturar la información, “setData” para escribir, y “clearData” para borrar. Ya en 2005 Hispasec publicó una prueba de concepto disponible en el apartado de más información.

También este ataque a través de flash recuerda al que se puso de moda hace años, lo que se dio en llamar “secuestro del navegador” que consistía en la modificación persistente de la página de inicio de Internet Explorer. Mucho malware del momento era capaz de secuestrarla con más o menos destreza. Hoy en día es una práctica en desuso.

Para “liberar” el portapapeles y que vuelva a funcionar de forma normal, tan solo hace falta cerrar la pestaña del navegador con la que se está visitando en el sitio web susceptible de contener el flash especialmente manipulado.

Aviv Raff ha desarrollado una prueba de concepto que carga de forma persistente la cadena http://www.evil.com en el portapapeles, disponible desde http://raffon.net/research/flash/cb/test.html

Más Información:

01/09/2005 Datos del portapapeles accesibles desde Internet Explorer

http://www.hispasec.com/unaaldia/2504/datos-del-portapapeles-accesibles-desde-internet-explorer

Adobe Product Security Incident Response Team (PSIRT): Clipboard attack

http://blogs.adobe.com/psirt/2008/08/clipboard_attack.html

Adobe Flash ads launching clipboard hijack attack

http://blogs.zdnet.com/security/?p=1733

Clipboards hijacked in web attack

http://news.bbc.co.uk/2/hi/technology/7567889.stm

Sergio de los Santos
ssantos@hispasec.com

Adobe Reader (Adobe Acrobat Reader), es una aplicación que permite visualizar e imprimir documentos PDF (Portable Document Format), un popular formato para transporte de documentos, creado por Adobe.

La vulnerabilidad se produce por un error de validación de código en JavaScript, el cuál puede estar contenido en archivos PDF. Esto puede hacer que el lector deje de responder y se llegue a ejecutar código remoto no deseado.

Bajo el nombre de actualización de seguridad para Acrobat 8.1.2, están disponibles las versiones para Windows y Mac OS. El boletín de seguridad contiene enlaces para otras descargas. También se puede utilizar la opción de actualización del propio programa (Ayuda, Buscar actualizaciones).

Si usted utiliza Acrobat Reader 7 o anterior, Adobe recomienda actualizarse a la versión 8, ya que las versiones anteriores no tendrán más actualizaciones.

NOTA:

Adobe Reader 8.0 para Windows requiere como mínimo un procesador Intel Pentium III o equivalente, 128 MB de RAM (se recomiendan 256 MB), y 110 MB de espacio libre en el disco duro, además de alguno de los siguientes sistemas operativos:

- Windows XP Professional
- Windows XP Home Edition
- Tablet PC Edition con Service Pack 2
- Microsoft Windows 2000 con Service Pack 4
- Windows 2003 Server
- Windows Vista

Los usuarios con versiones anteriores de Acrobat Reader (7.x), pueden disminuir los riesgos (y al mismo tiempo acelerar la carga del programa), deshabilitando los complementos potencialmente peligrosos, y las opciones de explorador de Web.

Para ello, siga estos pasos:

1. Cierre Adobe Acrobat.

2. Desde Mi PC, acceda a la carpeta de “Adobe” en “C:\Archivos de programa” o “C:\Program files”.

3. Busque la carpeta “plug_ins”:

\Acrobat x.0\Reader\plug_ins

Donde x.0 es la versión del programa (Ej: 6.0, 7.0).

4. Cree una subcarpeta llamada “Optional”:

\Acrobat x.0\Reader\plug_ins\Optional

5. Mueva TODOS los archivos y subcarpetas que estén dentro de la subcarpeta “plug_ins” a la carpeta “Optional”, MENOS los siguientes (según la versión de Adobe Reader, algunos de estos archivos podrían no existir):

EWH32.api
EWH32.ESP
Search.api
Search.ESP
Search5.api
Search5.ESP

6. Ejecute Adobe Reader y seleccione el menú “Edición”, “Preferencias”.

7. Busque “Internet” y desmarque todas las opciones que aparezcan en “Opciones de explorador de Web” (por ejemplo “Mostrar PDF en explorador”, “Permitir vista rápida en Web” y “Permitir descarga especulativa en segundo plano” -según la versión de Adobe Reader, alguna de estas opciones podría no existir-).

8. También en las preferencias, seleccione “JavaScript”, y desmarque la casilla “Activar JavaScript para Acrobat”.

Referencias:

Security Update available for Adobe Reader and Acrobat 8.1.2

http://www.adobe.com/support/security/bulletins/apsb08-15.html

Vulnerability Note VU#788019
Adobe Reader and Adobe Acrobat contain an unspecified flaw in a JavaScript method

http://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/id/788019

CVE-2008-2641

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6696

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com