ESET Latinoamérica – Laboratorio
« Malware en entornos empresariales
Scam en nombre de ¿ESET? »

Masiva campaña de infección a través de archivos PDF

Enero 6, 2010 12:00 pm

En más de una oportunidad hemos explicado la importancia de implementar las actualizaciones de seguridad, tanto las del sistema operativo como las de las aplicaciones instaladas en este, ya sea en ambientes hogareños o corporativos. En el segundo caso el tema es crítico debido a la envergadura de las posibles perdidas económicas que una empresa puede llegar a afrontar como consecuencia de incidentes de seguridad generados por malware.

En función de esto, la explotación de vulnerabilidades es en la actualidad es un patrón común dentro de la comunidad delictiva del crimeware, sobre todo, a través de archivos del tipo PDF, diseñados para aprovecharse de las debilidades en los lectores de estos archivos.

Es así que actualmente los delincuentes se están aprovechando de la explotación de la vulnerabilidad 0-day mencionada en la base de datos CVE-2009-4324 y que permite a los atacantes acceder a un sistema de forma remota si la aplicación Adobe Reader posee la vulnerabilidad mencionada (actualmente sin solución por parte del fabricante).

Un archivo PDF manipulado puede contener embebido un script malicioso junto a un archivo binario ejecutable y cuando el usuario abre dicho archivo para leerlo, se explota la vulnerabilidad mencionada infectando el sistema a través del archivo binario.

El problema es más complejo cuando estos ataques logran romper los esquemas de seguridad implementados a nivel corporativo, y de hecho, son los blancos más buscados debido a lo habitual que es en estos ambientes compartir información a través de este tipo de archivos.

Teniendo en cuenta que muchas organizaciones utilizan Adobe Reader, y que el parche para esta vulnerabilidad en particular será ofrecido al público recién el 12 de enero, el riesgo es elevado, sobre todo cuando la organización no posee como recurso prioritario una política de seguridad de la información que a su vez contemple un plan de actualización de las aplicaciones.

Una buena medida de contingencia que pueden considerar las compañías que utilicen Adobe Reader es deshabilitar el uso de Javascript, utilizar JavaScript Blacklist Framework y seguir el instructivo preparado por Adobe.

La buena noticia es que tanto el exploit como el binario son detectados como PDF/Exploit.CVE-2009-4324.NAA y Win32/Small.NGU respectivamente por todos los productos de ESET ya sean estos orientados al uso hogareño como al uso corporativo.

Jorge Mieres
Analista de Seguridad

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.71
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Alertas, Malware, Vulnerabilidades
3 Comentarios »

3 Comentarios en “Masiva campaña de infección a través de archivos PDF”

  1. Amenazas más destacadas de enero según ESET | Blinky-IT dijo:
    3-2-2010 a las 12:23 pm

    [...] aprovechadas para llevar a cabo distintos tipos de actividades maliciosas. Otro ejemplo fue la campaña masiva de infección a través de archivos PDF que se llevó a cabo a principios de este [...]

  2. ¿Qué es Operación Aurora? | Shadow Security dijo:
    24-1-2010 a las 12:49 pm

    [...] los comentarios al respecto hablaban de un ataque utilizando un exploit del tipo 0-Day embebido en archivos PDF, como el utilizado recientemente. Sin embargo, los investigadores llegaron a la conclusión de que [...]

  3. ESET Latinoamérica – Laboratorio » Blog Archive » ¿Qué es Operación Aurora? dijo:
    21-1-2010 a las 4:20 pm

    [...] los comentarios al respecto hablaban de un ataque utilizando un exploit del tipo 0-Day embebido en archivos PDF, como el utilizado recientemente. Sin embargo, los investigadores llegaron a la conclusión de que [...]

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.