• Tweet

Prueba de concepto

Han sido revelados los riesgos de seguridad que implica usar archivos PDF, luego de que una investigación demostró como un archivo manipulado maliciosamente puede ser usado para infectar otros archivos PDF benignos en el sistema.

Jeremy Conway, un investigador de seguridad de aplicaciones de NitroSecurity, dice que su prueba de concepto muestra como los archivos PDF se pueden infectar con gusanos. Los virus de computadora son capaces, por definición, de infectar otros archivos para propagarse. La investigación de Conway es bastante exitosa en demostrar como archivos PDF no maliciosos pueden ser infectados por funcionalidades soportadas por la especificación PDF, no por una vulnerabilidad de software como tal y sin el uso de binarios externos o Javascript.

La investigación de PDF con gusano fue publicada después de que Didier Stevens demostrara que es posible embeber ejecutables maliciosos en PDFs y manipular cuadros de diálogo para engañar a las víctimas, al hacer que ejecuten el payload malicioso del PDF modificado. Tanto Adobe como FoxIT están trabajando para mitigar esta vulnerabilidad en sus respectivos paquetes de visualización de archivos PDF.

Conway, quien la semana pasado publicó un informe y un video de prueba de concepto en archivos PDF manipulables, dijo que fue inspirado por la investigación de Stevens para encontrar vulnerabilidades similares. Una corrección capaz de bloquear las vulnerabilidades encontradas por Stevens, podría prevenir la posibilidad de que los archivos PDF sean infectados con gusanos. “Si las empresas que producen este software encuentran una manera de prevenir el ataque de Didier, el mismo parche podría servir para detener esta prueba de concepto”, dijo Conway.

Un post de Conway explica las implicaciones de seguridad con mayor profundidad al usar los archivos PDF actualmente.

“He escogido infectar archivos PDF benignos con otros y ejecutar un ataque para redirigir a los usuarios a mi sitio web, pero esto también podría ser fácilmente explotado para embeber un troyano dentro del archivo” explica Conway. “Peor aún, este vector de infección dinámica podría ser usado para infectar todos los archivos PDF con un ataque de día cero, multiplicando así los vehículos de propagación de la infección, mientras explota los sistemas del usuario infectado.

Un blog informativo de Mikko Hypponen, jefe de investigación en la firma de seguridad F-Secure, explica como todo tipo de contenido inesperado es soportado por la especificación PDF.

Archivos de medios, Javascript y formularios que mandan datos del usuario a un servidor web externo son soportados por la especificación PDF, en adición a los ejecutables embebidos. Estas funcionalidades poco conocidas, explican en parte por qué las aplicaciones PDF tardan años en cargar y por qué este formato de archivo se ha convertido en uno de los más atacados durante el año pasado, dijo Hypponen.