• Tweet

De acuerdo a Toralv Dirro, un estratega de seguridad de McAfee Labs, el porcentaje de malware que tiene como blanco explotar a las vulnerabilidades de los PDF se ha disparado. En el 2007 y 2008, solo el 2 por ciento de todo el malware que explotaba una vulnerabilidad se enfocaba a un error de Acrobat o al Adobe Reader. En el 2009 se tenía un 17 por ciento y para el primer trimestre del 2010 un 28 por ciento.

“En los últimos tres años, los atacantes han encotrado las vulnerabilidades de PDF más y más útiles, por un par de razones”, mencionó Dirro. “En primer lugar, es muy díficil para ellos encontrar nuevas vulnerabilidades en el sistema operativo y dentro de los navegadores que pueden explotar los sitios entre las diferentes versiones de Windows. Y en segundo lugar, Reader es una de las aplicaciones más utilizadas que permite acceder o abrir a los archivos dentro del navegador”.

Otros factores que contribuyen a que se puedan explotar los PDF, de acuerdo con Dirro, van desde la creencia del usuario de que los archivos PDF son seguros para abrir, o al menos más seguros que abrir documentos de Microsoft Office. "Bastante del código PDF fue escrito hace años, y los atacantes están encontrando nuevos problemas de seguridad que nadie pensó", dijo Dirro.

Un descubrimiento reciente ilustra el punto de vista de Dirro. A principios de este mes, el investigador belga Didier Stevens demostró cómo los archivos PDFs maliciosos podrían utilizar una característica estándar de la especificación de PDF para ejecutar un código de ataque oculto en el archivo,y la manera de modificar un mensaje de advertencia de Adobe Reader con el fin de engañar a los usuarios para que abran el documento. A pesar de que parte de lo que Stevens reveló ha sido públicado por lo menos hace ocho meses, la técnica sólo ha sido tomada por los hackers en las últimas semanas.

Microsoft recientemente también informó que las vulnerabilidades del PDF son una parte potente de los arsenales de los hackers. En su más reciente Reporte de Inteligencia de Seguridad , Microsoft dijo que casi la mitad de las vulnerabilidades en los navegadores en el segundo semestre del 2009 fueron dirigidas al Reader de Adobe. Tres de las vulnerabilidades del Reader - que fueron parchadas en mayo de 2008, noviembre de 2008 y marzo de 2009 - representaron más del 46% de todos los ataques hacia los navegadores.

Symantec también ha notado una explosión en el número de ataques hacia los PDFs. De acuerdo con el último reporte de Symantec sobre las amenazas y la seguridad en Internet , que se publicó la semana pasada, PDFs maliciosos fueron los responsables del 49% de todos los ataques basados en Web en todo el 2009, comparado con sólo el 11% en 2008.

Al igual que McAfee, Symantec registró un aumento de las vulnerabilidades de Adobe Reader. De todos los errores en los plug-in de los navegadores registrados el año pasado, 15% eran avisos de Reader para Internet Explorer, Firefox, Chrome y otros navegadores. Esto representó un aumento significativo a partir de 2008, cuando el 4% de todos los errores plug-in estaban en Reader.Y dos de las cinco principales vulnerabilidades explotadas en el 2009 estaban en Adobe Reader.

Adobe se negó a comentar específicamente acerca de las estadíticas de las vulnerabilidades sobre Redaer de McAfee y Microsoft. En cambio, un portavoz envió un comunicado que la compañía ya había usado antes. "Dada la ubicuidad relativa y a la multiplataforma de muchos de nuestros productos, en particular a nuestros clientes, Adobe ha atraído - y es probable que siga atrayendo - cada vez más atención de los atacantes", dijo en un correo electrónico. "La mayoría de los ataques que estamos viendo son la explotación de las instalaciones de software que no tienen las últimas actualizaciones de seguridad".

Adobe puede estar trabajando en otras formas de reforzar Reader y Acrobat. De acuerdo con un investigador de seguridad, Adobe añadirá defensas de sandboxing al software de PDF. Sandboxing, es quizás mejor conocido como una técnica utilizada por el navegador Chrome, aisla los procesos unos de otros y al resto de la máquina, impidiendo que el código malicioso se escape a otra aplicación que pueda causar estragos o infectar el equipo con malware.

Reader puede o no puede tener sandboxing. Cuando se le preguntó acerca de los informes de que Reader 10 incluiría defensas de sandboxing, un portavoz de la compañía dijo que Adobe no ha anunciado planes, pero esta "investigando cómo obtener diferentes características para trabajar en una sandbox".

Dirro, de McAfee Labs, mencionó que la adición de sandboxing a Adobe Reader sería una decisión inteligente. "Es una de las formas más útiles para hacer frente a una gran cantidad de vulnerabilidades", dijo. "Sandboxing ha demostrado ser bastante eficaz en detener los ataques."