Masiva campaña de infección a través de archivos PDF

En más de una oportunidad hemos explicado la importancia de implementar las actualizaciones de seguridad, tanto las del sistema operativo como las de las aplicaciones instaladas en este, ya sea en ambientes hogareños o corporativos. En el segundo caso el tema es crítico debido a la envergadura de las posibles perdidas económicas que una empresa puede llegar a afrontar como consecuencia de incidentes de seguridad generados por malware.

En función de esto, la explotación de vulnerabilidades es en la actualidad es un patrón común dentro de la comunidad delictiva del crimeware, sobre todo, a través de archivos del tipo PDF, diseñados para aprovecharse de las debilidades en los lectores de estos archivos.

Es así que actualmente los delincuentes se están aprovechando de la explotación de la vulnerabilidad 0-day mencionada en la base de datos CVE-2009-4324 y que permite a los atacantes acceder a un sistema de forma remota si la aplicación Adobe Reader posee la vulnerabilidad mencionada (actualmente sin solución por parte del fabricante).

Un archivo PDF manipulado puede contener embebido un script malicioso junto a un archivo binario ejecutable y cuando el usuario abre dicho archivo para leerlo, se explota la vulnerabilidad mencionada infectando el sistema a través del archivo binario.

El problema es más complejo cuando estos ataques logran romper los esquemas de seguridad implementados a nivel corporativo, y de hecho, son los blancos más buscados debido a lo habitual que es en estos ambientes compartir información a través de este tipo de archivos.

Teniendo en cuenta que muchas organizaciones utilizan Adobe Reader, y que el parche para esta vulnerabilidad en particular será ofrecido al público recién el 12 de enero, el riesgo es elevado, sobre todo cuando la organización no posee como recurso prioritario una política de seguridad de la información que a su vez contemple un plan de actualización de las aplicaciones.

Una buena medida de contingencia que pueden considerar las compañías que utilicen Adobe Reader es deshabilitar el uso de Javascript, utilizar JavaScript Blacklist Framework y seguir el instructivo preparado por Adobe.

La buena noticia es que tanto el exploit como el binario son detectados como PDF/Exploit.CVE-2009-4324.NAA y Win32/Small.NGU respectivamente por todos los productos de ESET ya sean estos orientados al uso hogareño como al uso corporativo.

Jorge Mieres
Analista de Seguridad