A última hora de ayer nuestro laboratorio ha detectado gran cantidad de correos electrónicos con archivos PDF adjuntos.

Al descargarse el mismo e intentar ver su contenido, se explota una vulnerabilidad en Windows que permite ejecutar código en el sistema del usuario. Valiendose de esta vulnerabilidad (parcheada por algunos fabricantes pero aún no por Microsoft, que ha anunciado que lo hará), los atacantes ejecutan una consola de DOS y mediante un comando FTP descargan un archivo dañino (no activo al momento de escribir esto) y ejecutan el mismo.

Ejecución de comandos

La peligrosidad de esta amenaza es alta debido a:

  • la creencia popular que los archivos PDF no pueden albergar código ejecutable dañino
  • la gran cantidad de software vulnerables debido a un problema que en realidad radica en el sistema operativo
  • la gran cantidad de software que no es actualizado por el usuario y que permitirá infecciones masivas
  • la utilización de equipos sin la configuración adecuada para evitar estos ataques

Las recomendaciones son:

  • actualizar inmediatamente Adobe Reader 8.1.1 (que soluciona la vulnerabilidad)
  • no descargar (y mucho menos abrir) archivos no solicitados que llegan por correo electrónico
  • utilizar el sistema operativo sin permisos administrativos
  • utilizar un firewall que proteja de las comunicaciones salientes (el de Windows no es suficiente)
  • utilizar un antivirus actualizado y con capacidades proactivas que detecte el exploit y prevenga de todos los malware que explotaran esta vulnerabilidad.

Como no podía ser de otra manera, ESET NOD32 detecta la amenaza desde el primer momento como Exploit.PDF.Shell.A.

Cristian