Adobe confirma el exploit de día cero pasa por alto el entorno limitado de Adobe Reader

Un exploit descubierto recientemente que elude la protección contra la explotación de sandbox en Adobe Reader 10 y 11 es altamente sofisticado y probablemente sea parte de una importante operación de ciberespionaje, dijo el jefe del equipo de análisis de malware en el vendedor de antivirus Kaspersky Lab.

El exploit fue descubierto el martes por investigadores de la firma de seguridad FireEye, quien dijo que estaba siendo utilizado en ataques activos. Adobe confirmó que el exploit funciona contra las últimas versiones de Adobe Reader y Acrobat, incluidos 10 y 11, que tienen un mecanismo de protección de espacio aislado.

"Adobe es consciente de informes de que estas vulnerabilidades están siendo explotadas en la naturaleza en ataques dirigidos diseñados engañar a los usuarios de Windows para que hagan clic en un archivo PDF malicioso entregado en un mensaje de correo electrónico ", dijo la compañía en un aviso de seguridad publicado el miércoles.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Adobe está funcionando en un parche, pero mientras tanto, se recomienda a los usuarios de Adobe Reader 11 que habiliten el modo de Vista protegida seleccionando la opción "Archivos de ubicaciones potencialmente inseguras" en el menú Editar> Preferencias> Seguridad (Mejorado).

El exploit y el malware que instala es de muy alto nivel, según Costin Raiu, director del equipo de análisis e investigación de malware de Kaspersky Lab. "No es algo que ves todos los días", dijo el jueves.

A juzgar por la sofisticación de los ataques, Raiu concluyó que deben ser parte de una operación de "gran importancia" que "estaría en el mismo nivel que Duqu".. "

Duqu es una pieza de malware de ciberespionaje descubierta en octubre de 2011 que está relacionada con Stuxnet, el altamente sofisticado gusano informático al que se le atribuyen las perjudiciales centrifugadoras de enriquecimiento de uranio en la planta nuclear de Irán en Natanz. Se cree que tanto Duqu como Stuxnet fueron creados por un estado nación.

El último exploit viene en forma de documento PDF y ataca dos vulnerabilidades separadas en Adobe Reader. Uno se usa para obtener privilegios de ejecución de código arbitrario y uno se usa para escapar del entorno limitado de Adobe Reader 10 y 11, dijo Raiu.

El exploit funciona en Windows 7, incluida la versión de 64 bits del sistema operativo, y elude los mecanismos de ASLR de Windows (aleatorización de distribución de espacio de direcciones) y DEP (Prevención de ejecución de datos).

Cuando se ejecuta, el exploit abre un documento PDF señuelo que contiene un formulario de solicitud de visa de viaje, dijo Raiu. El nombre de este documento es "Visaform Turkey.pdf".

El exploit también descarta y ejecuta un componente de descarga de malware que se conecta a un servidor remoto y descarga dos componentes adicionales. Estos dos componentes roban contraseñas e información sobre la configuración del sistema y pueden registrar las pulsaciones de teclas, dijo.

La comunicación entre el malware y el servidor de comando y control se comprime con zlib y luego se cifra con AES (Estándar de cifrado avanzado) utilizando la criptografía de clave pública RSA.

Raramente se ve este tipo de protección en el malware, dijo Raiu. "Algo similar se utilizó en el malware Flame cyberespionage, pero en el servidor".

Esta es una herramienta de ciberespionaje creada por un estado nacional o una de las llamadas herramientas de interceptación legal vendidas por contratistas privados a las fuerzas del orden y agencias de inteligencia por grandes sumas de dinero, dijo.

Kaspersky Lab todavía no tiene información sobre los objetivos de este ataque o su distribución en todo el mundo, dijo Raiu.

Consultado por correo electrónico el miércoles, el director de seguridad de FireEye la investigación, Zheng Bu, se negó a comentar sobre los objetivos del ataque. FireEye publicó una publicación de blog con información técnica sobre el malware el miércoles, pero no reveló ninguna información sobre las víctimas.

Bu dijo que el malware usa ciertas técnicas para detectar si se está ejecutando en una máquina virtual, por lo que puede evadir la detección mediante sistemas automatizados de análisis de malware.