Nuevo ataque a Adobe Reader incluye un certificado robado

Adobe publicó hoy una advertencia sobre una vulnerabilidad antes desconocida en sus programas PDF Reader/Acrobat. Los atacantes ya están explotando esta vulnerabilidad para atacar a los usuarios.

El exploit es muy simple. Lo interesante es que utiliza métodos de programación “Return Oriented” (ROP) para burlar las tecnologías de control ASLR y DEP en Windows Vista y 7.

Me imaginaba que el uso de ROP en exploits iba a comenzar a expandirse. ¿Por qué? Porque Windows 7 está ganando más y más público en el ámbito privado y corporativo.

La mayoría de las veces los PDFs maliciosos descargan su carga nociva de Internet, pero en este caso el PDF la tiene integrada. El PDF descarga un ejecutable en el directorio %temp% e intenta ejecutarlo.

¡El archivo tiene una firma digital válida de una institución financiera estadounidense!

Mira las imágenes con detenimiento y verás que el certificado es válido y de verdad pertenece a Vantage Credit Union. Esto significa que los cibercriminales deben haber conseguido el certificado privado. ¿Suena conocido? Si os recuerda a Stuxnet (donde se utilizaron certificados comprometidos de Realtek y JMicron para firmar archivos), estamos pensando lo mismo.

Sería interesante determinar si Stuxnet ha “impuesto una moda” o si estos casos son sólo coincidencias. Yo no lo creo: creo que el uso de certificados válidos y robados para firmar malware va a ser algo muy común en 2011.

Se ha notificado a Verisign y a Vantage Credit Union para que controlen la situación.