Vulnerability Team

Los archivos PDF (Portable Document Format) son uno de los formatos de almacenamiento de documentos más utilizados a nivel mundial. Esto se debe, entre otras cosas, a que es un formato multiplataforma permitiendo el traspaso del mismo de un punto a otro (sistema o entidad) sin perder el formato original.

Como sucede con toda tendencia popular, existen usuarios maliciosos que utilizan este medio para propagar amenazas, tendencia que hemos observado anteriormente.

A raíz de esto, los desarrolladores del popular lector de archivos PDF, Acrobat Reader, lanzaron una nueva versión de dicho producto llamada Adobe Reader X el cual, como fue mencionado a mediados del 2009, incluye una nueva metodología de protección. Esta nueva metodología se apoya en una funcionalidad agregada desde Windows Vista denominada niveles de integridad.

¿A qué nos referimos con esto?

Básicamente, el sistema operativo asigna un grado de importancia a cada uno de los procesos corriendo dentro del mismo, pudiendo categorizarlos como bajo, mediano o alto (low, medium, high). Esta metodología de seguridad se basa en que un proceso corriendo un nivel de integridad bajo no puede escribir sobre otro proceso que posea un nivel superior. En el caso de los procesos con nivel de integridad medio y alto, estos pueden acceder a aquellos procesos que comparten su mismo nivel y a su vez a los de nivel inferior a ellos.

¿Y qué es lo que hace Adobe Reader X con esto?

En el caso de esta aplicación, la misma posee un modo protegido de ejecución, donde al proceso de Adobe que lee el archivo PDF posee un nivel de integridad bajo, evitando, de esta forma, que cualquier contenido maliciosos modifique procesos de mayor relevancia al sistema.


¿Es esto 100% seguro?

Como todo lo que se refiere a seguridad informática, no existe nada 100% seguro, ya que podría descubrirse una vulnerabilidad dentro de los niveles de integridad o el manejo de los mismos realizados por las aplicaciones. Es por esto que siempre se recomienda abrir solo contenido del cual conozcamos su procedencia y, adicionalmente, utilizar un antivirus con detección proactiva.

¿Esta funcionalidad es compatible con todos los sistemas operativos?

No, solo es compatibles con aquellos sistemas operativos de Microsoft posteriores a Windows Vista inclusive. En el caso de sistemas operativos Linux o Mac, estos poseen una serie de protecciones nativas similares que brindan una similar protección siempre y cuando no se acceda a los mismos con privilegios de superusuario.

El formato PDF es una gran herramienta que a revolucionado la forma de compartir documentos en la web, tanto a nivel hogareño como empresarial y la misma ira creciendo conforme evolucionen las tecnologías. Es por esto que siempre se deben tomar los recaudos necesarios al manejar los mismos para así evitar las actuales y futuras amenazas que se nos puedan presentar.

Adobe Reader X es la nueva versión del popular software de la compañía que, en su vertiente para ordenadores Windows, incluye Protected Mode, una tecnología que aísla los procesos del sistema, para prevenir o, al menos dificultar, el malware. La nueva versión también está disponible para Mac OS X y Andorid, aunque en este caso no cuentan con esta “sandbox”.

Protect Mode es la respuesta de Adobe a aquellos expertos que demandaban a la compañía que dotara de más seguridad a Reader, que en los últimos meses ha sido objetivo de múltiples ataques. Los hackers suelen sacar partido de vulnerabilidades sin conocer y sin resolver, denominadas “de día cero”, para infectar ordenadores con diverso malware. Para ello, empleaban documentos PDF.

El director de seguridad de Adobe, Brad Arkin, califica esta tecnología como un “nuevo avance” en cuestiones de protección de los usuarios y, aunque reconoce que no frenará todos los ataques, sí que ayudará. “Protect Mode ayudará a evitar que el atacante, aunque localice vulnerabilidades, instale malware en el ordenador de la víctima”.

Adobe no es la primera compañía que implanta una “sandbox”. Google lo hace con Chrome y Microsoft con Internet Explorer y Office 2010. De hecho, el responsable de Adobe agradece a ambas empresas por ayudar al trabajo de los ingenieros de Adobe a la hora de desarrollar su tecnología de seguridad.

fuente: csospain.es

Es difícil ignorar una invitación a los premios Nobel de la paz. Y eso es precisamente lo que querían los ciberdelincuentes cuando comenzaron a enviar un correo electrónico fraudulento con ese asunto. En concreto, la víctima recibe un correo electrónico falso con una invitación a la ceremonia del Premio Nobel otorgado a Liu Xiaobo que tiene este aspecto:

Muy convincente ¿verdad?
El correo electrónico incluye un archivo adjunto que es la "invitación oficial" para el evento. Y es esta "invitación formal" la que lleva las "sorpresas" para la víctima. En el momento en que el archivo PDF disfrazado de invitación es abierto, se activa un Exploit PDF (detectado por BitDefender ® como Exploit.PDF-TTF.Gen) con el fin de desencriptar y soltar tres componentes:

• iso88591 que contiene el payload;
• svchost.exe (identificado por BitDefender como Trojan.Dropper.Agent.VCS) que soltará un archivo en c:\windows\midimap.dll. Como hay otro archivo midimap.dll en la carpeta system32, cualquier aplicación que llame a las funciones de la DLL original en realidad estará llamando al archivo DLL malicioso que tiene una ruta más corta. Esta técnica se llama secuestro DLL y hará que todos los programas que necesitan reproducir un sonido (incluyendo reproductores multimedia, clientes de mensajería instantánea, navegadores y similares) activen el código malicioso;
• un archivp PDF limpio con una invitación para engañar a la víctima y que ésta siga creyendo que el correo es legítimo

Después de que los archivos maliciosos se hayan creado, el archivo PDF infectado cierraAdobe ® Reader ® y lo reinicia para mostrar el contenido del PDF limpio que actúa como engaño. De esta manera, el usuario es conducido a creer que todo ha ido tal como se describe en el mensaje y lo más probable es que pase por alto lo que sucedió en su equipo en segundo plano.

El backdoor intenta llamar a su casa [eliminado].3322.org y envía información sobre el nombre del sistema, sobre quién ha iniciado la sesión en el usuario, la CPU y la memoria física, etc. Cuando la comunicación entre el backdoor y el servidor de control se produzca, tu equipo estará ya, definitivamente, en manos de un atacante remoto.

No es la primera vez que utilizan los premios Nobel para realizar ataques de este tipo; recomedamos NO abrir ningun tipo de mensaje que provenga de alguna persona o entidad desconocida, tambien que que en lugar de abrirlos directamente desde el cliente de correo electrónico, se descarguen los archivos adjuntos y  antes de abrirlos analizarlos con antivirus.

Además, ten en cuenta que Adobe ha publicado un parche para proteger a los usuarios de la vulnerabilidad, así que asegúrate de que has actualizado tu aplicación antes de abrir cualquier documento PDF.

fuente: laflecha.net 

Ha sido Paul Baccus, un investigador de la empresa de seguridad Sophos quien, durante la conferencia Virus Bulletin, ha pedido a la audiencia un sondeo de opinión sobre el futuro de Adobe PDF y en el que un 97% aproximadamente ha optado por dar por terminado el estándar y trabajar en uno nuevo a seguir.

Se trata, por supuesto, de una encuesta no oficial pero que ponen de manifiesto los temores que genera el código de Adobe, objetivo de los hackers desde hace años precisamente por su omnipresencia en Internet a pesar de que la compañía está dando pasos para mejorar la seguridad.

De hecho, la situación es tal que se ha comparado a Adobe con Microsoft en cuanto a los problemas de seguridad que generan sus programas, una compañía cuyo software tiene una penetración de mercado del 90% y que ha terminado por establecer un mecanismo de actualizaciones de seguridad mensuales. Los expertos afirman a que precisamente esta sea una de las razones por las que Microsoft ha mejorado la seguridad de su software, lo que lleva a los hackers a buscar otros.

La conferencia anual Virus Bulletin se ha celebrado este año en Vancouver reuniendo a 600 expertos de seguridad de todo el mundo.

fuente: itespresso.es

A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente.

Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un atacante ejecutar código en el sistema si la víctima abre (con estos programas de Adobe) un fichero PDF que utilice un tipo de letra manipulada. El fallo es público, está siendo aprovechado por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no existe parche ni contramedida propia disponible (habitualmente era suficiente con desactivar JavaScript para, al menos, mitigar el problema, pero no es el caso en esta ocasión). Ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.

Este escenario, aunque potencialmente muy peligroso, no es sorprendente ni nuevo. Sorprende sin embargo las peculiaridades con las que los atacantes han aprovechado el fallo para ejecutar el código arbitrario (que, evidentemente, resulta en malware). Lo más llamativo es que los atacantes han trabajado a fondo para poder aprovechar la vulnerabilidad usando técnicas muy parecidas a dos de las que recientemente hemos hablado en una-al-día: Las que usara hace poco Rubén Santamarta para aprovechar un fallo en Quicktime; y el uso de certificados reales para firmar el malware, como el "reciente" troyano Stuxnet.

A primera vista, el fallo no es sencillo de explotar. Al desbordar la memoria, la pila queda en un estado no demasiado "ideal" para utilizar la dirección de retorno adecuada y ejecutar código. Para eludir estos problemas, los atacantes han usado una librería icucnv36.dll que no soporta ASLR (básicamente, siempre está en la misma zona de memoria y esto sirve de referencia para lanzar código) y han usado una técnica conocida como ROP (Return oriented programming). Hasta aquí, el ataque es muy parecido al que descubrió Santamarta en Quicktime, y demuestra una gran habilidad del atacante. Para colmo en este caso, dado que la librería no da mucho juego (no importa funciones interesantes que permitan fácilmente la llamada a código) el atacante se vale de otras menos potentes que, combinadas, consiguen su objetivo. Todo un alarde de conocimientos.

Una vez ejecutado, el binario que ejecutan los atacantes (incrustado en el PDF, aunque también descarga otros) está firmado con un certificado real y robado, igual que hizo Stuxnet hace un par de meses (se trata del malware que se ejecutaba gracias a la infame vulnerabilidad en los archivos LNK de Windows). En este caso se trata de un certificado robado a Vantage Credit Union. Otro toque de profesionalidad. Hay quien pronostica que el malware firmado será tendencia en 2011.

Adobe tiene previsto su siguiente ciclo de actualizaciones en octubre, pero (una vez más), seguro que publica un parche antes. Desde hace tiempo, el periodo de tres meses que eligieron para publicar parches les viene demasiado largo, y las excepciones en las que han tenido que romper el ciclo y publicar parches "a destiempo" han sido numerosas.

REFERENCIA: http://www.adobe.com/support/security/advisories/apsa10-02.html


fuente: hispasec.com

Debido a la gran cantidad de archivos PDF infectados los cuales son explotado por multiples vulnerabilidade, la compañaia Zynamics ha creado la aplicacion denominada PDF Dissector,  una aplicación escrita en Java que muestra el contenido del documento de forma estructurada, facilitando las tareas de la inspección.

1. Presenta el archivo de forma "física" o "lógica". Es decir, tal y como esta almacenado en disco o siguiendo la estructura del documento.
2. Opciones desarrolladas para la extracción y compresión del código JavaScript (en el que generalmente se introduce la vulnerabilidad):
• Decodifica los objetos "Stream" que contengan código. De tal forma que se facilite la extracción, ya que en ocasiones los objetos estas comprimidos y no pueden ser vistos directamente.
• Ejecución en un intérprete propio Javascript, para entender el código malicioso.
• Ejecución en una emulación del intérprete de Javascript de Acrobat
• Procesamiento del código, tabulando y mostrándolo de forma más visual y comprensible.
3. Identificación de vulnerabilidades conocidas.