(Por Rubén Borlenghi, el Microsaurio) Hay empresas que perseveran. Por ejemplo, Apple persevera en desafiar a los crackers, poniendo en peligro a los usuarios; demora las actualizaciones, se ciñe a fechas fijas esperando que las fallas no sean explotadas… ¿Que si me pusieron de mal humor? Vení que hoy hablamos de un ataque “zero day” (día cero), para el que no hay parche ni detección convencional por antivirus posible.
Primero los datos duros, luego la explicación.
El 4 y 5 de diciembre llegan a ciertas oficinas estatales estadounidenses unos email que contienen PDF con los siguientes títulos (en inglés): “feliz navidad”; “tarifa diaria”; “encuesta de satisfacción de empleados contratados”; “calendario de pagos de empleados federales 2012”.
Con semejantes títulos, claro que los destinatarios los abrieron. Sin duda, eran archivos PDF que contenían código de ataque, no detectado antes. Eso es un ataque “zero day” (día cero), dado que contra eso no hay parche ni detección convencional por antivirus posible.
Pero como había “malas conductas” conocidas, como tratar de comunicarse con un website para bajar un ejecutable, un troyano ya conocido desde el 2010, fue detectado y analizado.
Los investigadores que intervinieron avisaron a Adobe.
El gobierno norteamericano emite por medio del US-CERT, el 6 de diciembre, un aviso indicando que de acuerdo a la nota CVE-2011-2462 “…hay una vulnerabilidad (…) en el componente U3D de Adobe Reader y Acrobat 10.0.1 y anteriores, para Windows y Mac OSX, y Adobe Reader 9.x hasta 9.4.9 en Unix, que permite a un atacante remoto ejecutar código a voluntad o causar una denegación de servicio (…) y ya se han producido ataques…”
En esa nota de seguridad se indica claramente que la falla afecta a todas las versiones de Acrobat y Reader, para todas las plataformas, a partir de la versión 9.x y hasta la más nueva.
Qué hizo Adobe
El 6 de diciembre emitieron la Nota de Seguridad APSA11-04. Justo un día después de pasar el susto con Adobe Flex que te comenté aquí, el equipo de seguridad de Adobe destacó que “…el ataque detectado está dirigido solamente a quienes estaban usando Reader 9.x en Windows…”
También recordaron que ellos no han recibido, hasta ahora, avisos de ataques contra Reader para Mac o Unix. Según me parece, eso saca a estos sistemas operativos de la lista de problemas urgentes. Por favor, que nadie se lo comente a los crackers 😉
En el mismo comunicado afirmaron que publicarían una actualización para esas versiones en la semana del 12 de diciembre.
El vienes 16 a la tarde publicaron el Boletín de Seguridad APSB11-30 que solucionaba la falla de seguridad, y debía ser descargado por los usuarios de Reader 9.x sobre Windows.
En ese boletín se aclara la falla de programación que da lugar a la brecha de seguridad (esas son mis palabras…) que está presente en el código de las versiones de Adobe X para Windows, pero que como esos usuarios están a salvo, ya que cuentan con la operación en Modo Protegido (en Reader) /Vista Protegida (en Acrobat), la actualización de código se deja para más adelante, cuando llegue la fecha de publicación de los Boletines Trimestrales, que será… el año que viene, el 10 de enero.
La actualización de seguridad para los usuarios que emplean Mac o Unix también se posterga para el 10 de enero.
El tema es que ese Modo Protegido se puede deshabilitar. Es cierto que queda marcado como activo al instalar el producto, pero… ¿la empresa apuesta a que ningún delincuente logrará deshabilitarlo de manera remota de acá a dentro de dos semanas?
Consejito: si insistís en usar ese lector de archivos PDF en Windows, fijate en la barra de menús de Reader, pasá a Editar, luego Preferencias, ahí clic en “General” y verás una frase en el panel de la derecha, abajo, que dice “Activar modo protegido al iniciar”, con un cuadradito y una marca. Dejalo marcado.
Agradecimiento especial a la investigadora Mila Parkour, la que vive en Washington DC, por publicar tanta información detallada sobre los PDF dañinos.
Espero que los ejecutivos/funcionarios locales se cuiden de los PDF de fin de año. ¿Y vos…?
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Amigos, el sitio sigue dando advertencias de software malicioso. Comparti esta nota en facebook y a varios le sucede lo mismo.
Sólo sucede en Chrome, ni en FF, ni en Safari ni en IE; tanto Google como Dreamhost me han escaneado el sitio y me dicen que está limpio. Es más, probá volver a entrar en un rato y vas a ver que no vas a tener problema.