SWF, PDF… ¡Todo está en Adobe!

Hace poco, las vulnerabilidades de los productos Adobe se han convertido en una grave amenaza de seguridad, y el número de infecciones que causan superó hace mucho los de las vulnerabilidades de Windows o Internet Explorer.
La última vulnerabilidad desconocida se identificó ayer, con la aparición de archivos PDF en el mundo real con una clara conexión china, y atrajo la atención de los analistas de antivirus de inmediato.

Uno de estos archivos se llama “Cao Chang-Ching The CPP made eight mistang Urumuqi incident_mm.pdf”. Los incidentes de los últimos días en el pueblo chino de Urumqui, donde los residentes locales se enfrentaron a la policía, se dieron a conocer en las noticias de todo el mundo, así que no es ninguna sorpresa que este tema se esté utilizando para difundir programas maliciosos.
Los archivos no contenían el exploit tradicional JavaScript, que ha sido el caso con las previas vulnerabilidades PDF. Sin embargo, cuando el archivo PDF se abre, dos archivos llamados Temp.exe y suchost.exe aparecen en el sistema: está claro que aquí hay un exploit, uno que funcionará hasta en la última, completamente parchada versión de Adobe Reader.

Análisis más profundos demostraron que un objeto SWF, un clip de Flash, se había insertado en el archivo PDF. Los clips de Flash también son productos de la empresa Adobe, y se reproducen con Adobe Flash.

La vulnerabilidad que había sido identificada en realidad estaba en Adobe Flash Player versión 9 y 10, ¡no en Adobe Reader! Esto es lo que al principio confundió a los analistas que estudiaban los archivos PDF y sus formatos. La vulnerabilidad utiliza ‘heap spray’ y puede explotarse cuando se abre un archivo PDF especial o cuando se visitan sitios comprometidos.

Hay una evidencia indirecta que nos lleva a creer que esta variante del exploit fue creada a principios de julio (no estamos seguros si el 2 o el 9), y es posible que ya se haya usado en varios ataques dirigidos.

Las muestras que analizamos instalan dos programas maliciosos: Trojan.Win32.PowerPointer (modificaciones .h y .i) y Trojan-Downloader.Win32.Agent (modificaciones cjll y cjoc).

Aún antes de haber agregado estos programas a la base de datos del antivirus, nuestros clientes ya estaban protegidos por nuestra tecnología heurística, que los detectaba como HEUR:Trojan.Generic.

La detección de los archivos PDF maliciosos se agregó a nuestra base de datos del antivirus el miércoles en la noche como Exploit.SWF.Agent.br y bs.

Adobe ha confirmado la existencia de la vulnerabilidad y ha prometido lanzar un parche antes del 30 de julio.

Pero como aún falta una semana para recibir el parche, recomendamos que deshabiliten Flash en Acrobat Reader y los objetos incorporados en el navegador.

En Adobe Reader, vayan a Editar > Preferencias de Configuración > Confianza en Multimedia > Autorización para Adobe Flash Player > Escojan “Nunca” o “Notificar”