Adobe otra vez…

Los delincuentes siguen encontrando y explotando vulnerabilidades en los productos más populares de Adobe: Acrobat y Reader.

Hace algunos días recibimos un archivo PDF interesante (detectado como Exploit.JS.Pdfka.bui), que contenía un exploit para la vulnerabilidad CVE-2010-0188, descubierta por primera vez en febrero en la versión 9.3 y posteriores de Adobe.

Lo primero que llama la atención es la imagen TIFF defectuosa en el archivo PDF.

La vulnerabilidad, una saturación de buffer, aparece cuando se ingresa al área de la imagen. El ataque emplea la técnica ‘heap spraying’, que utilizan muchos exploits capaces de ejecutar códigos JavaScript. El ataque Aurora es un ejemplo claro y reciente de esta técnica.

Si se explota la vulnerabilidad con éxito, se cambia la dirección del remitente por la dirección predefinida 0xC0C0C0C0. Allí es donde se encuentra el código controlado por los cibercriminales.

Después salta a una dirección que contiene un shellcode que al principio decodifica el texto y después el archivo ejecutable, que también está incluido en el archivo PDF original.

Se agrega el archivo ejecutable decodificado (que detectamos como Backdoor.Win32.Agent.aqoj) a la carpeta raíz el disco C: para ejecutarlo. Su propósito es enviar datos sobre el ordenador de la víctima a un servidor remoto y descargar otros archivos maliciosos al ordenador infectado.

Adobe no tardó en lanzar una actualización para los productos afectados. Pero esto no detendrá a los cibercriminales porque, a juzgar por experiencias pasadas, los usuarios tardan en instalar la actualización en sus equipos y los delincuentes no dudarán en explotar la vulnerabilidad hasta que lo hagan. Para evitar ser víctima de este ataque y de otros parecidos, recomendamos que instalen las últimas actualizaciones para Acrobat y Reader.