Nuevas NORMAS para el foro

Curso Hacker
Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación? - Julio 19, 2008, 09:14:59
Boton Buscar
Inicio Ayuda Ingresar Registrarse
Visita: Articulos - Juegos Gratis - Da Foros

Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  HacK GeneraL (Moderador: ManCuerTex (ViPeR))  |  Tema: Fallo en Adobe Reader 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: Fallo en Adobe Reader  (Leído 197 veces)
Aleks
Moderación
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 2565


Mehr licht


Ver Perfil Email
« en: Octubre 26, 2007, 12:16:40 »
Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas

En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora... pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.

El problema en sí se debe a un fallo de validación de entrada en el manejo de URIs y URLs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:... pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. En la práctica, si un usuario de Windows abre un PDF especialmente manipulado, éste preparará a través de la consola una descarga por FTP del malware y lo ejecutará de forma transparente.

Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema. Sólo funciona sobre Windows XP y 2003, no sobre Vista. Adobe Acrobat Reader es uno de los muchos programas salpicados por una vulnerabilidad original de Windows. Microsoft por su parte, ya reconoce el fallo y se supone publicará una actualización que atajará el problema de raíz.

El archivo detectado es un PDF que, al abrirlo con Adobe Reader, descarga un pequeño archivo de 30k por FTP de forma automática y lo ejecuta. El malware descargado es detectado hoy por un 68.75% de nuestros motores en VirusTotal.com, aunque el ejecutable puede ser reemplazado o modificado en cualquier momento. Lo interesante es que la dirección IP desde donde lo descarga lleva casi tres días activa, impunemente en pie y conocida por todos (se ve a simple vista incrustada en los archivos PDF con los que intentan infectar). Esta dirección IP (81.95.146.xyz ) pertenece a la RBN, Russian Bussines Network y quizás sea esta la razón por la que se mantiene online. Aunque para los atacantes, tampoco sería mayor problema que desapareciera. El exploit es sencillo, público y sólo habría que modificar la dirección IP y la ruta del archivo para comenzar otra oleada de spam con archivos PDF infectados y un nuevo malware para descargar.

Adobe ha lanzado un parche que subsana la vulnerabilidad para las versiones 8.x de Adobe Reader y Adobe Acrobat. Los enlaces se encuentra en la sección de más información. No existe aún parche para la rama 7.x. En cualquier caso la recomendación es clara: ignorar archivos PDF no solicitados o usar alternativas para abrirlos en el caso de que sea posible: Gsview para Windows, puede resultar una alternativa válida, pues no parece vulnerable. No así Foxit Reader, que sí que sufre también este fallo aunque necesita de interacción por parte del usuario. Con Adobe la ejecución sería automática.

Fuente:


Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
En línea




Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion



Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

I´ll see you in the other side, I know it!
Aleks
Moderación
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 2565


Mehr licht


Ver Perfil Email
« Respuesta #1 en: Octubre 27, 2007, 01:00:27 »
He aqui otra noticia relacionada con la vulnearibiladad de los archivos PDF.

Se ha reportado un exploit activo para la vulnerabilidad en archivos PDF que permite la ejecución remota de código a través de la simple visualización de un archivo en ese formato.
 
Acrobat ha publicado un parche para este problema, que afecta a las versiones de Adobe Reader 8.x y 7.x, cuando se ejecutan bajo Windows XP con Internet Explorer 7.0 instalado (los usuarios de Windows Vista no son afectados).
 
El exploit está basado en una prueba de concepto mostrada recientemente, la cuál permitía la ejecución de la calculadora de Windows.
 
Las versiones reportadas, han sido distribuidas en archivos con nombres como "BILL.PDF", "INVOICE.PDF", "YOUR_BILL.PDF" o "STATEMET.PDF", en mensajes con asuntos como "INVOICE alacrity", "STATEMET indigene" e "INVOICE depredate". Sin embargo esto solo debe tomarse como referencia, ya que es evidente que resulta trivial el utilizar cualquier otro nombre o mensaje para engañar a la posible víctima.
 
El problema debe ser considerado muy seriamente, desde que el formato PDF es hoy en día ampliamente utilizado para el envío de facturas, listas de precios, boletines informativos, y otros documentos.
 
La versión actual del exploit, puede ejecutar un comando de Windows XP que deshabilita su cortafuegos, lanza el comando FTP del propio Windows para descargar un malware y luego ejecutarlo, todo ello a partir de un doble clic del usuario sobre un PDF aparentemente inocente.
 
ESET NOD32 ha agregado la firma genérica PDF/Exploit.Shell.A que detecta esta clase de archivo malicioso.
 
Una actualización para las versiones vulnerables de Acrobat Reader están disponibles en el siguiente enlace:
 
Adobe Reader 8.1.1 update - multiple languages

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
 
La actualización requiere tener instalado Adobe Reader 8.1.0 (ver en "Ayuda", "Acerca de Adobe Reader"). Los usuarios con la versión 8.0 en español, deberán instalar la versión 8.1 desde el siguiente enlace antes de instalar este parche:
 

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
 
Para Adobe Acrobat Professional y Standard, estos son los enlaces:
 
Adobe Acrobat 8.1.1 Professional and Standard update - multiple languages

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
 
La actualización debe ser aplicada sobre la versión 8.1.0 de Adobe Acrobat Professional, Standard, o 3D. Los usuarios de versiones anteriores (8.0 y 7.x), deben actualizarse antes a la versión 8.1.0 desde el siguiente enlace y luego aplicar este parche (8.1.1):
 

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
 
Son afectadas las versiones Adobe Reader 8.x y 7.x, así como Adobe Acrobat Professional 8.x y 7.x.
 
Fuente: vsantivirus
En línea




Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion



Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

I´ll see you in the other side, I know it!
Páginas: [1] Ir Arriba Imprimir 
Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  HacK GeneraL (Moderador: ManCuerTex (ViPeR))  |  Tema: Fallo en Adobe Reader « anterior próximo »
Ir a:  


Ranking-Hits
Powered by SMF 1.1.5 | SMF © 2006-2007, Simple Machines LLC