• Tweet

Adobe planea parchar la vulnerabilidad de la versión Reader la próxima semana.

Una semana antes que Adobe programara reparar una vulnerabilidad crítica en su popular software PDF, los hackers han estado activamente explotando el fallo tanto con objetivos específicos así como ataques a gran escala, dijo un investigador en seguridad el día de hoy.

El Instituto SANS de Internet Storm Center (ISC) informó el lunes que han recibido muestras de un nuevo documento PDF amañado que secuestra PCs usando el defecto de Adobe reconocido el 14 de diciembre. Igualmente, el mes pasado, Adobe dijo que no parcharía el fallo hasta el 12 de enero. Al analizar el código de una muestra, el analista del ISC Bojan Zdrnja llamó a este ataque de PDF como “sofisticado” por el uso de un “Egg-hunt shellcode astuto”.

“Egg-hunt shellcode” es un termino multi – etapa usado cuando un hacker no puede determinar en donde terminará el espacio de direcciones de un código en un proceso.

Hoy en día, Joshua Talbot, director de inteligencia de seguridad en Symantec, confirmó que el PDF malicioso explota una vulnerabilidad en Adobe Reader de Adobe, pero a diferencia de Zdrnja, dijo que no era algo fuera de lo ordinario. “No es particularmente novedoso o sofisticado”, dijo Talbot.

Todos los fabricantes que recientemente descubrieron el código lo explotaron, agregó Talbot, fue tomado de un código publicado en el 2004, dentro de un artículo de investigación e hicieron modificaciones menores. “Estas técnicas no son nuevas o inteligentes, sino las mismas cosas que los hackers han estado haciendo”, argumentó Talbot.

El PDF malicioso descrito por el ISC ha sido visto sólo por un número limitado de usuarios, diseñado para objetivos de alto perfil, como ejecutivos de las empresas o personal con acceso a contraseñas de red. Symantec ha monitoreado grandes ataques explotando el fallo en archivos PDF. Un ataque generó más de 34,000 detecciones en la red de detección global de Symantec, alcanzado el 31 de diciembre, antes de caer bruscamente.

“Definitivamente estamos viendo actividad fuera, pues la vulnerabilidad no ha sido parchada,” dijo Talbot. Cuando se le preguntó sobre el ataque de gran escala, Talbot contestó, “Eso lo pone en la clasificación de ser activamente explotado. Esto muestra lo que está pasando… que los atacantes están diseñando un solo exploit para sus propios propósitos y que hay gente que está tratando de distribuir esos exploits a tantas personas como sea posible”.

Al igual que otros expertos el mes pasado, hoy Talbot recomendó a los usuarios desactivar JavaScript en Adobe Reader y Acrobat para protegerse a sí mismos hasta el próximo martes cuando Adobe envíe la reparación.

Las actualizaciones para Reader y Acrobat, que incluyen parches para otras vulnerabilidades que también habían sido puestas en evidencia el mes pasado, se publicarán en el sitio de seguridad de Adobe el 12 de enero.

Adobe intenta enviar actualizaciones de seguridad para Acrobat Reader cada trimestre y emite estas actualizaciones el mismo segundo martes de cada mes que Microsoft ha usado por mucho tiempo para su calendario de actualizaciones.