Adobe considera cambios para mitigar ataques a PDF



Adobe Systems está considerando modificar sus aplicaciones PDF para enfrentar una forma de manejar código arbitrario en computadoras con Windows que lo incorporan en un archivo malicioso PDF.

La semana pasada, el investigador en seguridad Didier Stevens detalló una forma de manejar código ejecutable usando una orden diferente ala emitida, si bien las aplicaciones PDF de Adobe y Foxit no traen ejecutables incrustados que corran directamente. El ataque requiere alguna ingeniería social.

La orden particular emitida usada por Stevens está definida en la especificación PDF (ISO PDF 32000-1:2008) bajo la sección 12.6.4.5, escribió a Steve Gottwals, un gerente del grupo de productos en Adobe.

"Éste es un buen ejemplo de funcionalidad poderosa de la que se depende de algunos usuarios que también lleva riesgos potenciales cuando es usada incorrectamente por otros", escribió Gottwals.

Los productos Reader y Acrobat de Adobe muestran una advertencia de que sólo los ejecutables confiables deberían ser abiertos, pero Stevens mostró cómo fue posible modificar parte del mensaje de advertencia para persuadir a un usuario a abrir el archivo. La compañía está considerando modificaciones para los programas.

"Actualmente estamos investigando la mejor propuesta para esta funcionalidad en Adobe Reader y Acrobat, que concebiblemente podríamos poner a disposición durante una de las actualizaciones trimestrales de productos agendadas regularmente", escribió Gottwals.

Las versiones antiguas de Reader de Foxit no mostraron un mensaje de advertencia, aunque la compañía publicó una versión 3.2.1 que suma una ventana preventiva de diálogo, según un portavoz de compañía.

Gottwals escribió que los administradores pueden tomar medidas para mitigar un ataque desactivando una caja en la "administración de confianza", sección de "preferencias", que deja que anexos del archivo PDF con usos externos sean abiertos.

También dio instrucciones sobre cómo modificar el registro para impedirle a usuarios revertir esa característica.

Aunque Stevens no lanzara al mercado su prueba entera de código conceptual, otro investigador de seguridad pudo construir otra clase usando parte del trabajo de ataque de Stevens.

Jeremy Conway, un gerente de producto en NitroSecurity, encontró la manera de distribuir el código malicioso a través de documentos PDF a la computadora de una víctima.

Conway también modifica el mensaje de advertencia para alentar a un usuario a abrir el PDF malicioso. Estando abierta, una carga útil maliciosa se añade a otro archivo PDF en la computadora con apariencia en forma de gusano.

La carga útil podría incluir un programa caballo de Troya que puede guardar lo que se teclea y robar contraseñas.

Fuente: PcWorld




No hay comentarios:

Temas Relacionados: